PowerShell脚本样本分析

PowerShell脚本样本分析

haidragon 安全狗的⾃我修养 2022-11-06 15:34

PowerShell脚本样本分析

该恶意⽂件为ACE压缩⽂件，内含4个jpg⽂件和⼀个PE⽂件，利⽤WinRAR漏洞(CVE2018-20250)，诱使受害者解压⽂件触发漏洞释放PE⽂件到启动⽬录，等待计算机重启后⾃动执⾏。通过⾃启的PE⽂件，释放powershell脚本、vbs脚本，并写⼊⾃启项到注册表，层层解密得到Y终的powershell攻击脚本，计算机启动后⾃动执⾏攻击脚本。脚本包含功能：远端下载⽂件、接收执⾏远端命令、解码数据等功能。powershell脚本经过⼏⼗次的混淆，⼿动反混淆⽐较费时间，定位到混淆⽤到的指令iex所在C#库，修改替换库可以⽐较⽅便的获取到混淆之前的代码。

1. 样本概况

1.1 样本信息

⽂ 件 名 ： 9CFB87F063AB3EA5C4F3934A23E1D6F9Size: 410224 bytesMD5:

9CFB87F063AB3EA5C4F3934A23E1D6F9SHA1:

7E181CE4CD405836E658C888334CD5893637FB1ACRC32: 7A9FCD5C

1.2 测试环境及⼯具

运⾏平台：Windows 7 X64系统监控⼯具：⽕绒剑调试⼯具：IDA Pro、Windows

Powershell ISE

2. 沙箱监控

使⽤WinRAR打开查看压缩包内容，包含4个jpg图⽚⽂件和⼀个exe⽂件Dropbox.exe，并 设 置 有 路 径 ： C:\C:C:..\AppData\Roaming\Microsoft\Windows\Start

Menu\Programs\Startup

解 压 后 会 触 发 WinRAR 漏 洞 ( CVE-2018-20250 ) , 释 放 exe 到 启 动 ⽬ 录 。

Dropbox.exe将在计算机启动时⾃动运⾏。其详细功能⻅逆向分析。

3. 逆向分析

3.1 CVE-2018-20250

WinRAR⽬录穿越漏洞(CVE-2018-20250)：该漏洞是由于WinRAR 所使⽤的⼀个陈旧的动态链接库UNACEV2.dll所造成的，该动态链接库在2006 年被编译，没有任何的基础保护机制(ASLR,DEP 等)。该动态链接库的作⽤是处理ACE 格式⽂件。⽽在解压处理过程中存在⼀处⽬录穿越漏洞,允许解压过程写⼊⽂件⾄开机启动项，导致代码执⾏。

3.2 Dropbox.exe分析

将 Dropbox.exe 脱 掉 upx 壳

脱

壳 后 的 PE ⽂ 件 信 息

使 ⽤ IDA Pro 静 态 分 析 ， 主 要 ⾏ 为 ： 释 放 并 执 ⾏ ps1 脚 本 。

释 放 ⽬ 录 ：

3.3 释放的脚本a.ps1

主要⾏为：解密⽣成并执⾏vbs脚本

3.4 释放的vbs脚本

主 要 ⾏ 为 ： 创 建 id.png ⽂ 件 ， 被 加 密 的 powershell 脚 本 ⽂ 件 ”

创 建 tmp.vbs ⽂ 件 ， ⽤ 于 隐 藏 窗 ⼝ 执 ⾏ 命 令

注册开机⾃启服务CortanaService，作⽤为—启动tmp.vbs⽆窗⼝执⾏解密脚本，解密脚 本 解 密 id.png ⽂ 件 ， 得 到 “ 被 混 淆 的 powershell 脚 本 ” ， ⻅ 下 图 。

脚 本 执 ⾏ 完 成 后 ， ⽂ 件 资 源 管 理 器 查 看 被 释 放 的 ⽂ 件 ：

解 密 脚 本 ：

解密得到被混淆的ps1脚本，该脚本分析⻅下节。

3.5 反混淆powershell脚本混 淆 脚 本 ⻅ 下 图 ：

脚本使⽤Invoke-Expression指令，将混淆脚本代码字符串作为命令执⾏，并使⽤字符串反转、字符串替换等⼿段混淆脚本。修改替换Invoke-Expression指令对应的库，在执⾏ iex 函 数 执 ⾏ 命 令 时 保 存 命 令 ⽂ 本 ， 得 到 如 下 明 ⽂ 脚 本 ：

该脚本开机时被执⾏，详细分析⻅下节。

3.6 明⽂powershell脚本

运⾏时⾸先进⼊如下循环：(该循环作⽤为连接服务端并上传设备信息)尝试获取设备信 息 ， 并 连 接 服 务 器 ， 连 接 成 功 则 跳 出 循 环 进 ⾏ 下 ⼀ 步 操 作 。

获取设备信息操作如下：(1)收集当前环境信息：Windows版本；内⽹IP地址；系统位数 ； 计 算 机 名 称 ； ⽤ 户 组 ； 公 ⽹ 地 址 。 (2) 计 算hash得 到 ⼀ 个 设 备 识 别id。

( 3 ) 获 取 计 算 机 当 前 公 ⽹ 地 址 如 下

连 接 服 务 端 报 错 ⽇ 志 ：

由于样本的远端服务器失效，将在死循环请求连接。⼿动跳出循环观察后续⾏为：

进 ⼊ 下 ⼀ 个 循 环 ： ( 本 循 环 ⽤ 于 接 收 服 务 端 指 令 )

分 发 服 务 端 返 回 的 指 示 ， 并 执 ⾏ 对 应 指 示 操 作 ：

该 循 环 的 主 要 ⾏ 为 整 理 如 下 ：

4. ⽹络⾏为

4.1 上传设备信息的post请求：

url：http://162.223.89.53/oa/data:序列化的设备信息

4.2 接收服务端指令的get请求

url：http://162.223.89.53/oc/api/?t={deviceID}

4.3 发送服务端指令执⾏结果

url：http://162.223.89.53/or/?t={deviceID}data: 处理结果

4.4 查询计算机所在公⽹ip

## 5. 溯源

5.1 IP关联

样 本 请 求 的 服 务 器 地 址 被 收 录 在 微 步 开 源 情 报 ， 地 址 标 签 归 属 于 APT 组 织

MuddyWater。

5.2 公开报告

根据APT组织MuddyWater与样本利⽤漏洞检索发现微软曾发布如下报告：利⽤WinRAR CVE-2018-20250漏洞的针对性攻击分析。报告提供CVE-2018-20250利⽤的攻击链与本 样 本 ⼀ 致 ：

5.3 APT组织简介

在收录的apt组织利⽤⼿段信息库中 ， 本 次 样 本 的 利 ⽤ ⽅ 式 ， 也 匹 配 该 组 织 曾 使 ⽤ 的 技 术 ⼿ 段 。

点击关注，共同学习！安全狗的自我修养

github haidragon

https://github.com/haidragon