-
-
[翻译]使用PowerShell日志记录进行去混淆处理
-
2020-8-5 20:53 13298
-
使用PowerShell日志记录进行去混淆处理
我们将在 Windows 10 VM 中使用内置的 PowerShell 日志记录来去混淆用于交付Emotet&Qakbot的PowerShell代码。恶意软件主要使用 PowerShell 从CC下载 payload 并执行。
为什么我们需要这样做?
- 无需使用任何外部工具即可对PowerShell进行去混淆处理的简便技术
- 从PowerShell中提取CC
样本
- 从ANY.RUN 下载 Qakbot 使用的 hta 文件(Md5:9ce2f8566be903e4bd9159b1b06900f4)。
- Emotet:从zip存档中下载Emotet下载程序示例 2018-05-04-Emotet-malware.zip / Virustotal。
启用PowerShell日志记录
Windows 10 VM不需要任何软件更新即可支持增强的PowerShell日志记录。但是,如果您仍然想配置Windows 7 VM,请查看FireEye文章 通过PowerShell日志记录提高可见性。
1.打开本地组策略编辑器,然后导航到 计算机配置->管理模板-> Windows组件-> Windows PowerShell
Initial PowerShell Logging%20Setting
2.启用以下所示的以下三个选项。在模块名称中输入*以进行模块记录。
PowerShell Group Policy%20Setting
提示:在“运行”中输入gpedit.msc以打开“本地组”策略,eventvwr.msc以打开Event Viewer。
步骤
- 打开事件查看器,然后导航到Windows日志->应用程序和服务日志-> Windows PowerShell,右键单击并清除现有日志。
- 执行恶意软件,并等待30-60秒。
- 打开ProcessHacker并检查PowerShell进程是否终止。
- 打开EventViewer并导航到Windows PowerShell日志并检查条目,您将看到一些经过去混淆的PowerShell代码。
- 如果需要提取PowerShell信息,请分析PowerShell代码。
Emotet和Qakbot的示例
Qakbot
hta文件包含混淆的VBScript代码
Initial Obfuscated htaInitial Obfuscated hta file which contain%20VBScript
通过用 ” 替换 ]+($)#!%/=[?-_&*<> 来对VBScript进行去混淆处理,您可以看到去混淆的PowerShell代码。
但是我们不需要执行上述步骤,只需运行hta文件,然后看到下面显示的更清晰的PowerShell代码。
Qakbot PowerShell Deobfuscation2nd level deobfuscated code is much better as you can see the%20CC
通过执行以下PowerShell代码来提取CC
Emotet
Obfuscated Emotet PoweShell cmdContain PowerShell cmd extracted from Emotet%20doc
Emotet Deobfuscated PowershellCheck the highlighted Deobfuscated%20Code
原文链接:https://www.securityinbits.com/malware-analysis/deobfuscate-powershell-using-powershell-logging/
本文由看雪翻译小组 fyb波 编译
本文由看雪翻译小组 一壶葱茜 校对
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。