首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

恶意软件分析:xHunt活动又使用了新型后门

TriFiveSnugy后门本质上是PowerShell脚本,可以帮助攻击者访问被入侵的Exchange服务器,并使用不同的C2信道来进行通信。...攻击者使用这两个调度任务作为持久性方法,因为计划任务会反复运行这两个PowerShell脚本,不过运行的时间间隔不同。下图显示的是这两个任务及其相关的创建时间、运行间隔执行的命令。...为了向后门发出命令,攻击者需要登录到同一个合法的电子邮件帐户并创建一个主题为555的电子邮件草稿,其中就包括了加密Base64编码格式的命令。...下图显示的一封包含演示命令的邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本通过PowerShell执行: 为了运行攻击者提供的命令,PowerShell脚本需要登录到Exchange服务器上的合法电子邮件帐户...脚本打开电子邮件草稿,并使用Base64解码电子邮件消息正文中的内容,然后通过从每个字符中减去10来解密解码命令内容。

2.3K10
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    TA2101黑客组织攻击分析

    恶意邮件正文为退税相关内容,并诱骗收件人在三天内应提交退款申请(使用附件Microsoft Word文档表单),这些电子邮件主要针对IT服务公司。 ?...打开Microsoft Word附件后,执行Microsoft Office宏,进而执行PowerShell脚本,该脚本会将Maze勒索软件下载并安装到受害者的系统上。 ?...该邮件正文为执法活动通知,通知收货人打开并阅读随附文件,以避免进一步的税费罚款。...这些电子邮件主要针对制造公司,攻击者Microsoft Office宏的感染链用于PowerShell脚本中,该脚本最终下载并安装了Maze勒索软件。 ?...在2017年,这些活动集中于网络钓鱼复杂的社会工程学以及银行木马勒索软件,2018年,这些活动以税收为主题

    1.2K10

    可窃取所有浏览器 Cookie!新窃密软件 NodeStealer 成万金油

    由于批处理文件使用的字符编码不同,默认情况下使用文本编辑器打开会显示不连贯的字符。这也是攻击者进行混淆的一种方式,使用正确的编码打开即可对脚本进行分析。...但在后台,Powershell 代码会使用 Invoke-WebRequest 从新注册的恶意域名(vuagame[.]store)下载多个文件。...4HAI.zip文件中包含另一个要复制到启动文件夹的恶意批处理脚本,该脚本会运行 PowerShell 代码并下载执行名为 project.py 的 Python 脚本。...与之前的批处理脚本一样,也需要更改编码才能正常查看该脚本批处理脚本复制到启动文件夹后,将会下载并执行另一个名为 rmv.py 的 Python 脚本清除痕迹。...一旦数据被泄露,该脚本就会对创建的所有文件与文件夹进行清理。由于恶意批处理文件被放置在启动文件夹中,用户凭据与其他浏览器数据将会不断被收集回

    47530

    Nanocore等多个远控木马滥用公有云服务传播

    恶意程序的多种多样,如 JavaScript、Windows 批处理文件或 Visual Basic 脚本。...脚本执行后,会通过下载服务器下载下一阶段的攻击载荷,攻击者下载服务器部署在基于 Azure 的 Windows 服务器或基于 AWS 的 EC2 实例上。...△ 解密函数 紧接着继续解密: △ 解密函数 第二层 其余加密内容在第二层进行解密, ejv()解密的结果传递给解密函数。 去混淆的结果包含另一个解密函数 Ox$(),这是第三层解密函数。...△ VBScript Downloader 示例 PowerShell Dropper 在 Azure 的服务器上发现了一个使用 HCrypt 构建的 PowerShell 脚本。...攻击通过钓鱼邮件进行传播,电子邮件仍然是需要防范的重点位置。

    1.1K20

    Python 自动化指南(繁琐工作自动化)第二版:十八、发送电子邮件短信

    “收件人”地址) 字符串形式的电子邮件正文 电子邮件正文字符串的开头必须是以'Subject: \n'开头的电子邮件主题行。'...\n'换行符电子邮件主题行与正文分开。 从sendmail()返回的值是一个字典。对于电子邮件传递失败的每个收件人,字典中都会有一个键值对。一个空字典意味着所有的收件人都成功发送了邮件。...您可以列表参数中的多个 IMAP 搜索关键字字符串传递给search()方法。返回的消息是匹配所有搜索关键字的消息。如果您想要匹配任何搜索关键字,请使用OR搜索关键字。...您可以编写一个程序,使用ezgmail或smtplib模块发送这些电子邮件。电话号码电话公司的电子邮件服务器构成了收件人的电子邮件地址。电子邮件主题正文将是文本消息的正文。...尽管 IMAP 比 SMTP 复杂一些,但它也非常强大,允许您搜索特定的电子邮件,下载它们,并解析它们以提取字符串值形式的主题正文

    11.2K40

    深入了解命令提示符(CMD):Windows中的强大命令行工具

    3.3 网络相关命令 3.4 批处理脚本命令 四、CMD 的高级用法 4.1 命令的参数选项 4.2 管道重定向 4.3 批处理文件脚本编写 五、CMD 的实际应用场景 5.1...call:调用另一个批处理文件脚本。例如,call script.bat 调用名为 "script.bat" 的批处理文件。 goto:跳转到指定的标签。...|:命令的输出通过管道传递给另一个命令进行处理,如前面所述。 示例: dir > file.txt:当前目录的文件列表输出到名为 "file.txt" 的文件中。...4.3 批处理文件脚本编写 批处理文件脚本是一种用于自动化执行一系列命令或任务的脚本文件。...六、CMD 的扩展工具替代品 6.1 PowerShell 其他替代品 PowerShell是一种功能强大的命令行壳程序脚本语言,用于管理自动化Windows操作系统。

    18.1K17

    运维必学 | 初识介绍-从零开始学Windows批处理(Batch)编程系列教程

    目前Windows中的批处理包含两类:Windows DOS (BAT) 批处理 PowerShell 批处理 DOS 批处理:基于Windows DOS命令的,用来自动地批量地执行DOS命令以实现特定操作的脚本...Windows bat(批处理)是一种用于 Windows 操作系统的脚本语言和命令行工具,它使用扩展名为 .bat 或 .cmd 的文件,其中包含一系列的命令指令,用于自动化执行一组任务或操作。...包括但不限于文件和文件夹的创建、复制、删除、移动,运行程序命令,设置环境变量,修改注册表等 除此之外,Windows bat 批处理脚本使用一种简单的命令语法,可以包含条件判断 if、循环 for、变量定义...rem echo 我是注释不执行1 :: echo 我是注释不执行2 == echo 我不是注释要执行 @pause call :调用另一个批处理文件 描述: 使用call命令调用其他批处理文件,如果不用...call而直接调用别的批处理文件,那么执行完那个批处理文件无法返回当前文件并执行当前文件的后续命令,温馨提示:同一目录可以不加路径。

    64630

    Windows维权之粘滞键项维权

    : powershell/lateral_movement/invoke_wmi_debugger) > execute#注意这里可以sethc.exe替换为Utilman.exe(快捷键为: Win...粘性键持久性技术是众所周知的,一些攻击者者在网络攻击期间也常常使用它,除了上述的MetasploitEmpire之外,我们还可以使用脚本来自动执行此方法,Preston Thornburg编写了以下PowerShell...脚本,该脚本可以通过修改注册表来实现持久性$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution...\Image File Execution Options\sethc.exe之后五次shift,成功执行cmd:批处理文件2与批处理文件1方式类似,Sticky-Keys项目(https://github.com.../HanKooR/Sticky-Keys )提供了一个额外的选项,把系统控制台给用户,该工具的使用较为简单,下载批处理文件之后下目标主机执行即可虽然执行时可能会有一些小错误,但是执行结果没有任何问题,我们可以按下

    35010

    粘滞键项权限维持

    之后连续按下5次"Shift"键,之后弹出命令执行窗口,可以直接以System权限执行系统命令、创建管理员用户、登录服务等 ?...Powershell 粘性键持久性技术是众所周知的,一些攻击者者在网络攻击期间也常常使用它,除了上述的MetasploitEmpire之外,我们还可以使用脚本来自动执行此方法,Preston Thornburg...编写了以下PowerShell脚本,该脚本可以通过修改注册表来实现持久性 $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion...批处理文件2 与批处理文件1方式类似,Sticky-Keys项目(https://github.com/HanKooR/Sticky-Keys )提供了一个额外的选项,把系统控制台给用户,该工具的使用较为简单...,下载批处理文件之后下目标主机执行即可 ?

    1.3K20

    Active APT

    在过去的几个月里,Gamaredon 使用了许多不同的编程语言,从 C# 到 VBScript、批处理文件 C/C++。...他们一直在以三种不同的方式使用此模块恶意电子邮件发送到: 受害者通讯录中的每个人 同一组织内的每个人 预定义的目标列表 虽然在未经受害者同意的情况下滥用受感染的邮箱发送恶意电子邮件并不是一种新技术,但我们认为这是第一个公开记录的攻击组使用...如图 2 所示,VBA 代码构建电子邮件正文并将恶意文档附加到电子邮件中。我们已经看到.docx.lnk文件都被用作附件。...VBScript 使用 Document.AttachedTemplate 属性远程模板的引用注入现有文档 此 VBScript 模块还打包在一个自解压存档中,包含一个批处理文件两个 VBS 文件,...C# 后门线程创建例程 批处理文件/VBScript 此版本包含多个脚本,以批处理文件形式 VBScript 编写。但是,最终目标是相同的:扫描系统以查找敏感文档。

    8K00

    z9:一款功能强大的PowerShell恶意软件检测与分析工具

    接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/Sh1n0g1/z9.git (向右滑动,查看更多) 然后切换到项目目录中,使用pip...工具项目提供的requirements.txt安装该工具所需的其他依赖组件: cd z9 pip install -r requirements.txt (向右滑动,查看更多) 工具使用帮助...启用静态分析代码 --no-viewer 禁止在Web浏览器中打开JSON查看器 --utf8 以UTF-8编码读取脚本文件...参数解析: 参数命令 命令介绍 input file 要分析的PowerShell文件路径 -o output json 存储z9分析结果的文件名 -s 执行静态分析 --utf8 当输入文件编码为UTF...; 2、重启PC; 3、所有的PowerShell执行此时都会在事件日志中被记录; 事件日志转储为XML 1、执行该批处理文件:https://github.com/Sh1n0g1/z9/blob/main

    24630

    如何在 Windows 10上创建和运行批处理文件

    然而,批处理文件简化了重新输入命令的工作,节省了时间避免了可能出现的不可逆转的错误。 你还可以使用 PowerShell 等其他工具编写更高级的脚本。...你只需要一个文本编辑器一些基本的命令行知识。在下面的说明中,我们讲述编写基本批处理文件的步骤、编写脚本以更改 Windows 10 上的系统设置的步骤。...在本例中,我们选择每月运行一个任务的选项,但是您可能需要根据需要配置其他参数。 点击下一步按钮 使用开始设置,确认开始运行任务的日期时间 使用每月下拉菜单来选择一年中你想要运行任务的月份。...使用天或上下拉菜单来确认任务运行的天。 点击下一步按钮 选择 启动程序 选项以运行批处理文件。 在程序或脚本字段中,单击 浏览 按钮 选择您创建的批处理文件,点击下一步按钮。...启动时运行批处理文件 如果你希望每次登录到 Windows 10 帐户时执行一系列命令,你可以脚本放在启动文件夹中以保存额外的步骤,而不是使用任务计划程序。

    28K40

    z9:一款功能强大的PowerShell恶意软件检测与分析工具

    接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/Sh1n0g1/z9.git (向右滑动,查看更多) 然后切换到项目目录中,使用pip...工具项目提供的requirements.txt安装该工具所需的其他依赖组件: cd z9 pip install -r requirements.txt (向右滑动,查看更多) 工具使用帮助...启用静态分析代码 --no-viewer 禁止在Web浏览器中打开JSON查看器 --utf8 以UTF-8编码读取脚本文件...参数解析: 参数命令 命令介绍 input file 要分析的PowerShell文件路径 -o output json 存储z9分析结果的文件名 -s 执行静态分析 --utf8 当输入文件编码为UTF...; 2、重启PC; 3、所有的PowerShell执行此时都会在事件日志中被记录; 事件日志转储为XML 1、执行该批处理文件:https://github.com/Sh1n0g1/z9/blob/main

    23330

    浅谈非PE的攻击技巧

    通过工具分离lnk参数,结果如下: 指向路径: C:\Windows\system32\mshta.exe 传递参数: about:<script src='hxxp://neya-***.ru/config.ini...本文将以该案例为切入点,针对现有的非PE攻击手法进行分析与总结,内容包括<em>脚本</em>类型以及文档类型攻击,下面开始今天的<em>正文</em>。...<em>正文</em> 一、<em>脚本</em>攻击 1.JScript,VBScript还是<em>PowerShell</em>?...JScript,由微软开发的活动<em>脚本</em>语言,典型<em>脚本</em>后缀名.js VBScript,基于Visual Basic程序语言的<em>脚本</em>语言,典型<em>脚本</em>后缀名称.vbs <em>PowerShell</em>,可以认为是增强型CMD,...研究过程中, 我们观察到攻击者经常会通过<em>电子邮件</em>来进行传播大量包含了恶意文档的<em>电子邮件</em>,邮件内容是精心构造,以便诱导用户点击。

    1.7K70

    【译】Cromos – 下载并注入代码到谷歌 Chrome 浏览器扩展中

    并且举例而言,cromos通过PowerShell创建可执行文件强制安装,并到云端更新文件来主持恶意文件。...cromos.py --extension {id} 下载扩展并载入模块 Usage: python cromos.py --extension {id} --load {currency/keylogger} 创建批处理文件并更新云端文件...模块 描述 模块/键盘侧录(keylogger) 在一个受感染的浏览器中,这个模块捕获你输入的所有密码,不管是否基于 https 协议,你所需要的只是一个php服务器,用于接收请求的参数,即电子邮件地址...,密码,浏览器缓存(cookies)用户代理程式识别码(userAgent)。...未经许可,对目标系统使用这段代码在大多数地区是非法的。对滥用这段信息代码造成的损失,作者不承担任何赔偿责任。

    1.2K60

    针对 Hadoop 的 Oozie 工作流管理引擎的实际应用

    您可以使用与配置元素内联的 job-xml 元素,利用配置参数一个 XML 文件传递给 shell 作业。您可以配置其他文件或归档文件,让它们可用于 shell 作业。...您可以使用 Expression Language (EL) 表达式参数分配给内联属性值。您必须以 Java属性文件的格式写入所有输出参数。...您可以添加其他的文件归档文件,让它们可用于 Hive 作业。Oozie 执行了由脚本元素中的路径指定的 Hive 脚本。您可以通过 Oozie 工作流,参数作为输入参数分配给 Hive 脚本。...除了主题消息正文之外,电子邮件操作还必须拥有 to cc(可选)地址。您可以使用逗号分割的电子邮件地址向多个收件人发送电子邮件。...电子邮件操作可同步运行,而工作流作业一直要等到发送电子邮件之后才会触发下一个操作。您可以使用Hadoop EL 表达式参数分配给电子邮件操作。 清单 14.

    1.1K30

    exe2hex食用教程

    exe2hexbat是一个 Python 脚本,用于 Windows PE 可执行文件转换为批处理文件,反之亦然。 概述 exe2hex 将可执行二进制文件编码为 ASCII 文本格式。...然后,结果传输到目标计算机(回显 ASCII 文件比回显二进制数据容易得多)。执行exe2hex的输出文件后,使用PowerShell(默认情况下在Windows上预安装)还原原始程序。...-x chao.exe 可以看到,exe2hexexe文件转变成了cmdbat文件。...-v #启用详细模式 主要用途: 二进制程序转换为ASCII十六进制文件,可以使用内置的操作系统程序进行还原。 在旧版新版本的 Windows 上工作,无需预安装任何第三方程序。...支持 x86 x64 操作系统。 可以使用 DEBUG.exe 或 PowerShell 来还原文件。 能够在转换之前压缩文件。 对输出进行 URL 编码。 向每行添加前缀后缀文本的选项。

    1.7K20

    PS编程基础入门1

    在对管道中的每个对象或所选对象执行操作的命令中,可以使用此变量。 $Args : 包含由未声明参数/或传递给函数、脚本脚本块的参数值组成的数组。...在通过 PSConsoleFile 参数启动 Windows PowerShell使用 Export-Console cmdlet 管理单元名称导出到控制台文件 时,填充此变量。...$Input : 一个枚举数,它包含传递给函数的输入。$Input 变量区分大小写,只能用于函数脚本块。(脚本块本质上是未命名的函数。)...只有在声明参数的作用域(如脚本或函数)中, 此变量才有值。可以使用此变量显示或更改参数的当前值,也可以参数值传递给 其他脚本或函数。...例如,ParameterSetName 属性包含正在使用参数集的名称,而 ShouldProcess 方法 WhatIf Confirm 参数动态添加到 cmdlet。

    14.7K40
    领券