昨晚同事反馈了我一个消息，说是这个jar工具有后门，然后我就今天午休的时候午觉没睡就深入看了下。

从网上找到一个报毒的文件，解压后查到一个可疑的hta文件，sethc.exe文件实际为cmd.exe程序，属于系统的正常文件。

打开后发现实际运行的是powershell脚本内容：

一层层解密得到如下：

最终异或35后进行解码，分配内存执行shellcode。

实际的shellcode如下，很明显的CS的shellcode特征。

回连地址为time.date-windows.com，hta文件在野外最早出现时间为2021年5月12日，关联到多数据库利用工具MDUT，时间是2021年6月17日。


time.date-windows.com早已经过期了，但是昨天11月30日又被人重新注册了。


后续LiqunKit作者也发了更新，表示是从MDUT工具直接克隆过来的，这个文件LiqunKit作者自己也不清楚。

然后就是一个劲的怀疑，甚至于不调查就开始下阴谋论的结论。



后续经过与原作者的询问，发现是个意外事件，最初来源的项目里的hta文件没有被留意到，就一起打包上传了，也不是啥国外阴谋论。但是要注意的是这个文件是单独放置的，MDUT项目的逻辑里并没有代码会加载执行它，可以理解为一个被遗忘的测试文件（毕竟很多安全人员也会生成一些测试的payload），经过实际分析cs木马也很简单，回连域名早已经过期了，目前github项目已经删除了对应文件。

整个事件的脉络如下：

安全群里突然讨论起了这个工具，然后被杀软检测报毒了，然后大家就吵起来了，毕竟是安全人员自己使用的工具里有了后门，所以比较敏感。

项目地址 https://github.com/Liqunkit/LiqunKit_

实际网上也没啥人认真回溯分析，然后就在猜测，最终还是今天才陆续有人发了一些文章用作分析结论。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！