首页
社区
课程
招聘
[翻译]使用PowerShell日志记录进行去混淆处理
发表于: 2020-8-5 20:53 16879

[翻译]使用PowerShell日志记录进行去混淆处理

2020-8-5 20:53
16879

我们将在 Windows 10 VM 中使用内置的 PowerShell 日志记录来去混淆用于交付Emotet&Qakbot的PowerShell代码。恶意软件主要使用 PowerShell 从CC下载 payload 并执行。

Windows 10 VM不需要任何软件更新即可支持增强的PowerShell日志记录。但是,如果您仍然想配置Windows 7 VM,请查看FireEye文章 通过PowerShell日志记录提高可见性

1.打开本地组策略编辑器,然后导航到 计算机配置->管理模板-> Windows组件-> Windows PowerShell

Initial PowerShell Logging SettingInitial PowerShell Logging%20Setting

2.启用以下所示的以下三个选项。在模块名称中输入*以进行模块记录。

PowerShell Group Policy SettingPowerShell Group Policy%20Setting

提示:在“运行”中输入gpedit.msc以打开“本地组”策略,eventvwr.msc以打开Event Viewer。

hta文件包含混淆的VBScript代码

Initial Obfuscated htaInitial Obfuscated htaInitial Obfuscated hta file which contain%20VBScript

通过用 ” 替换 ]+($)#!%/=[?-_&*<> 来对VBScript进行去混淆处理,您可以看到去混淆的PowerShell代码。

Initial Obfuscate PowerShellInitial Obfuscate PowerShellInitial Obfuscate%20PowerShell

但是我们不需要执行上述步骤,只需运行hta文件,然后看到下面显示的更清晰的PowerShell代码。

Qakbot PowerShell DeobfuscationQakbot PowerShell Deobfuscation2nd level deobfuscated code is much better as you can see the%20CC

通过执行以下PowerShell代码来提取CC

imgQakbot CCExecute PowerShell Code to extract%20CC

Obfuscated Emotet PoweShell cmdObfuscated Emotet PoweShell cmdContain PowerShell cmd extracted from Emotet%20doc

Emotet_Powershell 1stEmotet Powershell 1st%20Entry

Emotet Deobfuscated PowershellEmotet Deobfuscated PowershellCheck the highlighted Deobfuscated%20Code

原文链接:https://www.securityinbits.com/malware-analysis/deobfuscate-powershell-using-powershell-logging/

本文由看雪翻译小组 fyb波 编译

本文由看雪翻译小组 一壶葱茜 校对

 
 
 

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//