专家们发现了一个新的无法检测的PowerShell后门伪装成Windows更新

来自SafeBreach的网络安全研究人员警告说，一个新的PowerShell后门伪装成一个Windows更新过程，以避免被发现。

后门通过武器化的Word文档( ‘应用Form . docm ‘)冒充基于LinkedIn的求职应用进行传播。该恶意文件于2022年8月25日从约旦上传。

专家们认为，后门是作为一个复杂的威胁行为者进行的长矛钓鱼运动的一部分分发的。

打开文档并启用嵌入式宏后，PowerShell脚本将被放到受害者的机器上。它还通过创建作为Windows更新过程的一部分的调度任务和执行位于虚假更新文件夹( ‘ % appdata % \ local \ Microsoft \ Windows ‘)中的脚本来实现持久性。

一旦执行了该脚本，它将启动第二个PowerShell脚本，在执行预定任务之前，系统上将删除另外两个脚本( Script . ps1和Temp . ps1)。

在执行预定任务之前，它会创建两个PowerShell脚本，分别命名为Script . ps1和Temp . ps1。PowerShell脚本的内容存储在Word文档中的文本框中，并将保存到% AppData % \ Local \ Microsoft \ Windows \ Update的相同假更新目录中。

这两个脚本在VirusTotal中都是混淆和FUD，检测率为零。

 Script . ps1连接到C2服务器并向操作员发送受害者ID，然后等待命令。该命令使用AES – 256 CBC加密。

通过对ID计数的分析发现，攻击者C2共危害了70台计算机。

Temp . ps1脚本解码响应中的命令并执行，然后将结果以加密的形式通过POST请求上传至C2。

SafeBreach的研究人员能够创建一个脚本来解密发送给他们每个人的命令。

专家们发现，在等待受害者的每个命令类型中，有以下比例：

·  66 %：执行进程列表命令

·  23 %：空命令-空(命令以’ : ‘开头)

·  7 %：本地用户枚举- – whoami和whoami / all +进程列表

·  2 %：从公用文件夹+网络帐户+计算机名称中删除文件，IP配置…

·  1 %：在特殊文件夹中列出文件-程序文件、下载、桌面、文档、appdata

·  1 %：A . D用户枚举和RDP客户端枚举的完整脚本