小編給大家分享一下WvEWjQ22.hta木馬反彈Shell樣本的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

網(wǎng)站建設哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、小程序制作、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了景洪免費建站歡迎大家使用！

I 綜述

重保晚上接到客戶的電話，說檢測到疑似攻擊，請我進行應急處置溯源，無奈的我，只好從床上爬起來拿起筆記本。通過初步分析發(fā)現(xiàn)WvEWjQ22.hta執(zhí)行了一個powershell進程,深入分析研判后發(fā)現(xiàn)流量經(jīng)過2次Base64編碼+1次Gzip編碼，逆向分析調試解碼出的ShellCode，為CS或MSF生成的TCP反彈Shell，最終溯源出攻擊IP且結束Powershell進程和TCP反彈shell進程。

II 攻擊手法

利用3次編碼的WvEWjQ22.ht木馬繞過態(tài)勢感知系統(tǒng)檢測預警 執(zhí)行powershell進程反彈shell。

III 樣本分析

木馬通過powershell執(zhí)行命令

WvEWjQ22.hta腳本使用powershell執(zhí)行一段base64編碼的PS腳本

BASE64解碼

通過一段PS腳本對其進行BASE64+Gzip解碼并將最終執(zhí)行的腳本寫到1.txt中

解碼出來的腳本主要就是申請內(nèi)存，BASE64解碼ShellCode加載執(zhí)行

將腳本中base64編碼的shellcode保存到文件out.bin

調試解碼出的ShellCode，ShellCode為CS或MSF生成的TCP反彈Shell。上線IP：112.83.107.148:65002

IV 處置

結束powshell進程和TCP反彈Shell進程。

以上是“WvEWjQ22.hta木馬反彈Shell樣本的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學習更多知識，歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道！