Unit42宣布powershell自动反殽杂东西 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Unit42宣布powershell自动反殽杂东西

申博_安全工具 申博 25次浏览 未收录 0个评论

菲律宾娱乐

菲律宾娱乐人气火爆,优惠不断,信誉第一,老品牌有保障,最值得信赖。

,

概述

近日,Unit42平安团队在Github上公开了本身研发的powershell自动反殽杂东西,Star数几日之间就突破了300,接下来,就来了解下这款神器的用法及道理。

项目地点:https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler

运用要领

东西用法很简约,python PowerShellProfiler.py -f <file_name>,若要检察反殽杂历程的话能够加上-d参数举行调试,下面运用官方给出的歹意剧本initial_obfusctaed_sample.ps1举行演示,该样本运用了IEX替代、字符串编码、运算符冗余、变量重命名等体式格局举行殽杂。

运转PowerShellProfiler.py后,PowerShellProfiler打印出了每一步反殽杂的步骤,反殽杂后的剧本,以及末了的结论:该样本的歹意分数18.5,高要挟,是个Downloader剧本,病毒家属为Veil Stream。

东西道理

演示完了PowerShellProfiler.py的运用要领,来看一下东西的道理,主要为4个中心步骤:反殽杂目的剧本 -> 病毒家属检测 -> 可疑字符串扫描 -> 目的剧本歹意分数统计

除了第一个函数,后三个函数的道理都是经由过程正则表达式特性码婚配,下面重点剖析下第一个反殽杂的函数unravelContent。

进入该函数后,中心的反殽杂函数为normalize(),在反殽杂之前,东西会先对字符串举行响应的倒序、反编码、解压、解密等操纵。此次的剧本initial_obfusctaed_sample.ps1存在frombase64string、decompress等字符串,起首会进入decompressContent这个反编码函数。

运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析

0x01 样本对比 · 存在漏洞的WhatsApp应用程序 · 版本2.19.133 · 763ab8444e085bd26336408e72ca4de3a36034d53c3e033f8eb39d8d90997707 · 使用 9daaa009e08ac55168aeacdc34dd9c1d7a8f8a49048de949ddaf8a61997b324f  libwhatsapp.so · https://www.ap

 

Unit42宣布powershell自动反殽杂东西

该函数起首对剧本举行base64解密,然后尝试用种种紧缩体式格局举行解压,直到解压胜利为止。

完成以上操纵后,东西就挪用normalize()函数举行反殽杂,道理就是立即翻译powershell经常使用的殽杂运算符、字符串,如:

 

  1. 删除一些无用的运算符:”空格”、”^”、”`”。

  2. 转化Char字节为ASCII码。

  3. 去掉”+”,衔接字符串。

  4. replace字符串。

Unit42宣布powershell自动反殽杂东西

反殽杂前的剧本以下,存在大批的无用的运算符、char字符,以及一些显著的-replace替代函数。

 

Unit42宣布powershell自动反殽杂东西

举行了normalize()函数反殽杂后,获得的剧本以下,构造已很清楚了,接下来东西就能够对该剧本举行特性码婚配了,如:downloadstring、Start-Process等可疑字符串的提取。

末端

powershell作为APT进击的经常使用进击体式格局,免杀、殽杂的体式格局一成不变,光运用该东西没法保证能对一切ps剧本举行反殽杂检测,我们更应该深切明白ps剧本的殽杂经常使用要领及道理,才及时地与这类歹意进击样本举行匹敌。

原文地点: https://www.4hou.com/tools/21411.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Unit42宣布powershell自动反殽杂东西
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址