使用PowerShell日志记录进行去混淆处理

我们将在 Windows 10 VM 中使用内置的 PowerShell 日志记录来去混淆用于交付Emotet＆Qakbot的PowerShell代码。恶意软件主要使用 PowerShell 从CC下载 payload 并执行。

为什么我们需要这样做？

• 无需使用任何外部工具即可对PowerShell进行去混淆处理的简便技术
• 从PowerShell中提取CC

样本

• 从ANY.RUN 下载 Qakbot 使用的 hta 文件（Md5：9ce2f8566be903e4bd9159b1b06900f4）。
• Emotet：从zip存档中下载Emotet下载程序示例 2018-05-04-Emotet-malware.zip / Virustotal。

启用PowerShell日志记录

Windows 10 VM不需要任何软件更新即可支持增强的PowerShell日志记录。但是，如果您仍然想配置Windows 7 VM，请查看FireEye文章 通过PowerShell日志记录提高可见性。

1.打开本地组策略编辑器，然后导航到 计算机配置->管理模板-> Windows组件-> Windows PowerShell

Initial PowerShell Logging%20Setting

2.启用以下所示的以下三个选项。在模块名称中输入*以进行模块记录。

PowerShell Group Policy%20Setting

提示：在“运行”中输入gpedit.msc以打开“本地组”策略，eventvwr.msc以打开Event Viewer。

步骤

1. 打开事件查看器，然后导航到Windows日志->应用程序和服务日志-> Windows PowerShell，右键单击并清除现有日志。
2. 执行恶意软件，并等待30-60秒。
3. 打开ProcessHacker并检查PowerShell进程是否终止。
4. 打开EventViewer并导航到Windows PowerShell日志并检查条目，您将看到一些经过去混淆的PowerShell代码。
5. 如果需要提取PowerShell信息，请分析PowerShell代码。

Emotet和Qakbot的示例

Qakbot

1. hta文件包含混淆的VBScript代码

   Initial Obfuscated htaInitial Obfuscated hta file which contain%20VBScript

2. 通过用 ” 替换 ]+($)#!%/=[?-_&*<> 来对VBScript进行去混淆处理，您可以看到去混淆的PowerShell代码。

   Initial Obfuscate PowerShellInitial Obfuscate%20PowerShell

3. 但是我们不需要执行上述步骤，只需运行hta文件，然后看到下面显示的更清晰的PowerShell代码。

   Qakbot PowerShell Deobfuscation2nd level deobfuscated code is much better as you can see the%20CC

4. 通过执行以下PowerShell代码来提取CC

   Qakbot CCExecute PowerShell Code to extract%20CC

Emotet

Obfuscated Emotet PoweShell cmdContain PowerShell cmd extracted from Emotet%20doc

Emotet Powershell 1st%20Entry

Emotet Deobfuscated PowershellCheck the highlighted Deobfuscated%20Code

原文链接：https://www.securityinbits.com/malware-analysis/deobfuscate-powershell-using-powershell-logging/

本文由看雪翻译小组 fyb波 编译

本文由看雪翻译小组 一壶葱茜 校对

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。