微信号尾号为H****553YM
QQ:64****08
就先叫他53YM大黑客
(7)纯真IP库查询IP的归属地指向了一家名为”北京市 凯达永易科技(北京)有限公司”的公司
去天眼查网站查询这家公司发现公司已注销
(8)然后我顺便去Google搜索了一下这个C&C上线地址,发现已经有安全团队分析了类似样本
2018.exe 211.149.225.80:3313(大灰狼木马)
inJoin.ps1是一个远程注入工具该PowerShell脚本具有3个基本功能集:
1.)将DLL反映性地加载到PowerShell进程中
远程或本地运行时,可以将DLL输出返回给用户。
DLL完成执行后,清理PS进程中的内存。
2.)将EXE反射性地加载到PowerShell进程中。
远程运行时无法将EXE输出返回给用户。如果需要远程输出,则必须使用DLL。如果在本地运行,则可以返回EXE输出。
DLL完成执行后,清理PS进程中的内存。
非常适合运行EXE的现有渗透测试工具,而无需触发过程监控警报。
3.)以反射方式将DLL注入到远程进程中。
在远程或本地运行时,无法将DLL输出返回给用户。
如果DLL完成执行,则不清理远程进程中的内存。
非常适合通过将后门DLL注入另一个进程内存来在系统上植入后门。
期望DLL具有此功能:void VoidFunc()。这是在DLL加载后将被调用的函数。
如果通俗点用人话来讲就是利用PowerShell来远程注入DLL的脚本
此PowerShell项目的Github项目地址:
https://github.com/clymb3r/PowerShell
此PowerShell项目作者的说明:
https://clymb3r.wordpress.com/2013/04/06/reflective-dll-injection-with-powershell/
这里的江西赣州的黑客所使用的就是上图红圈选圈中的PowerShell脚本
然后查看他一下他的PowerShell脚本
其中$InputString是黑客把自己的恶意的二进制文件通过Base64转写后的字符串信息
在通过PowerShell[System.Convert]::FromBase64String的方法是为上面二进制文件加密的字符串信息进行解密执行
InputString中Base64编码的字符串解密还原后为Metasploit生成的二进制文件。