WvEWjQ22.hta木马反弹Shell样本的示例分析

小编给大家分享一下WvEWjQ22.hta木马反弹Shell样本的示例分析，相信大部分人都还不怎么了解，因此分享这篇文章给大家参考一下，希望大家阅读完这篇文章后大有收获，下面让我们一起去了解一下吧！重保晚上接到客户的电话，说检测到疑似攻击，请我进行应急处置溯源，无奈的我，只好从床上爬起来拿起笔记本。通过初步分析发现WvEWjQ22.hta执行了一个powershell进程,深入分析研判后发现流量经过2次Base64编码+1次Gzip编码，逆向分析调试解码出的ShellCode，为CS或MSF生成的TCP反弹Shell，最终溯源出攻击IP且结束Powershell进程和TCP反弹shell进程。利用3次编码的WvEWjQ22.ht木马绕过态势感知系统检测预警 执行powershell进程反弹shell。木马通过powershell免费云主机域名执行命令WvEWjQ22.hta脚本使用powershell执行一段base64编码的PS脚本BASE64解码通过一段PS脚本对其进行BASE64+Gzip解码并将最终执行的脚本写到1.txt中解码出来的脚本主要就是申请内存，BASE64解码ShellCode加载执行将脚本中base64编码的shellcode保存到文件out.bin调试解码出的ShellCode，ShellCode为CS或MSF生成的TCP反弹Shell。上线IP：112.83.107.148:65002结束powshell进程和TCP反弹Shell进程。以上是“WvEWjQ22.hta木马反弹Shell样本的示例分析”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注云编程开发博客行业资讯频道！

相关推荐: dockerfile和镜像安全举例分析

这篇文章主要介绍“dockerfile和镜像安全举例分析”，在日常操作中，相信很多人在dockerfile和镜像安全举例分析问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”dockerfile和镜像安全举例分析”的疑惑有所帮助！接…