吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8603|回复: 66
收起左侧

[PC样本分析] 挖矿病毒分析之powershell解密小技巧

  [复制链接]
A-new 发表于 2021-11-13 18:03
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 A-new 于 2021-11-13 18:14 编辑

近几年挖矿病毒比较多,比较早的PowerGhost、驱动人生挖矿、近期还在继续活跃的MyKing,柠檬鸭等病毒关键部分就是powershell脚本,前几天看到有人求助分析一个柠檬鸭的样本,也算是对自己分析解密powershell脚本的总结吧。
一、powershell脚本混淆的主要方法
1、随机大小写
powershell的特性不区分大小写,这个只是让看着眼花,就不用说了
2、字符串拼接
[PowerShell] 纯文本查看 复制代码
[Ref].Assembly.GetType('Sys'+'tem.Mana'+'gement.Aut'+'omatio'+'n.Am'+'siUtils').GetField('am'+'siInitFai'+'led','NonP'+'ublic,Static').SetValue($null,$true)

这一行代码字符串用+截断,这个还好点,只是看着不爽,把'+'全部剪切掉就好了
3、转义符(反引号)
PowerShell 能够识别的特殊字符
[HTML] 纯文本查看 复制代码
 `0     Null
 `a    警报
 `b    退格
 `f    换页
 `n    换行
 `r    回车
 `t    水平制表
 `v    垂直制表

转义符号加在其他字符前不影响字符的意思,只要不在0,a,b,f,n,r,t,v的小写字母前出现就是无意义的可以直接剪切掉,目前见过的混淆脚本很少遇到有意义的转义字符
4、Ascii编码
使用[char]xx 代替字符 如:[char]48代表0
5、base64编码
这种用的最多一般都是把一些PE编码比如开始提到的柠檬鸭,m.ps1和m2.ps1就是把32位和64位的mimikatz编码到脚本中
base64.jpg

这个提取也比较简单010editor有个解密这个挺方便
d6.jpg

直接decode就好了
6、逆序
nx.png

这是柠檬鸭样本if.bin中间解密出来的部分代码很明显这部分应该主要都是char]xx,从网上找了几个逆序的东西都不行(可能是我太挫了没找到)只能自己python抄几行代码还原了主要代码如下
[Python] 纯文本查看 复制代码
    with open(in,'r') as f:
        k = f.read()
    y = list(k)
    y.reverse()
    de = ''.join(y)

    with open(out,'w') as fw:
        fw.write(de)

二、一个简单方便的解密方法
根据powershell的特性基本都是用Invoke-Expression来执行执行脚本,根据微软的说明
iex.png

大多数脚本可以在文件头或者结尾发现这个
i.png

把这个Invoke-Expression删掉然后在脚本末尾加上|out-file “输出文件”,或者直接>>输出到文件就可以了。
基于powershell的特性Invoke-Expression的变形比较多,常见的有IEX、&( $psHOme[4]+$pshOme[34]+'x') 、$Env:ComSpec[4,26,25]-Join''、$ShellId[1]+$ShellId[13]+'x' 、$EnV:cOmSPeC[4,24,25]-jOIn''等,执行脚本的事要要注意。
三、总结
powershell还原其实并不太难,熟悉一下特性,有点耐心基本还是都可以解出来的,就是有点费眼,有些没有脚本文件的直接通过命令行执行,提取命令行参数解密也一样,系统日志也有powershell日志,也可以从日志里提,碰到过一次命令行参数太长,日志都记录了十几条才提取完整,总的来说要有耐心。

免费评分

参与人数 15威望 +1 吾爱币 +32 热心值 +13 收起 理由
dsb2468 + 2 + 1 归纳总结得不错
zouliang1992 + 1 鼓励转贴优秀软件安全工具和文档!
CNDoylen + 1 用心讨论,共获提升!
haifeng001 + 1 + 1 热心回复!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
haorenyb + 1 + 1 鼓励转贴优秀软件安全工具和文档!
616118 + 1 用心讨论,共获提升!
zouzhiqiang + 1 + 1 鼓励转贴优秀软件安全工具和文档!
laotun + 1 + 1 我很赞同!
sushaka + 1 + 1 鼓励转贴优秀软件安全工具和文档!
1876911674 + 1 用心讨论,共获提升!
ZuAMos + 1 + 1 热心回复!
jpy177 + 1 + 1 热心回复!
Adgkms + 1 用心讨论,共获提升!
Mkdirfly + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| A-new 发表于 2021-12-9 10:27
chmod755 发表于 2021-12-6 10:15
我也分享个小技巧,确定是powershell的 直接拉到最后一行,去掉各种的iex  改成变量名 打印变量就好了

有些是在最开始的iex
chmod755 发表于 2021-12-6 10:15
我也分享个小技巧,确定是powershell的 直接拉到最后一行,去掉各种的iex  改成变量名 打印变量就好了

点评

有些是在最开始的iex  详情 回复 发表于 2021-12-9 10:27
头像被屏蔽
偶尔平凡 发表于 2021-11-13 18:16
chixi88 发表于 2021-11-13 18:34
学习了,谢谢分享。
iooioox 发表于 2021-11-13 18:34
厉害啊,大兄弟感谢分享
zhengzhentx 发表于 2021-11-13 18:39
通过文章了解一点powershell的一些特性
ekariya 发表于 2021-11-13 18:57
感谢分析  学习学习
Adgkms 发表于 2021-11-13 19:30
我来学习下
jerryowner 发表于 2021-11-13 19:50
学习分享
smile1110 发表于 2021-11-13 20:19
@A-new 老哥,刚看上瘾,没下文了,笑哈哈

点评

小技巧,就是点到为止  详情 回复 发表于 2021-11-16 16:26
123oo456 发表于 2021-11-13 20:19
厉害
学习了,谢谢分享。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表