W
aptm.in/protip/0052 ukryliśmy w rejestrze payload zakodowany w base64, dla przypomnienia:
sp HKCU:\SOFTWARE\Microsoft\Windows Signature "YwBhAGwAYwA="
W tym protipie wykorzystujemy
gp
(alias na
Get-ItemProperty
), by pobrać tę wartość, którą przekazujemy do argumentu
-enc
Powershella, który zdekoduje sobie to polecenie, a następnie uruchomi. Dodatkowo podajemy argument
-w h
, co spowoduje, że okno z Powershellem zostanie ukryte (w pełnej formie wyglądałoby to
-window hidden
).
W pewnym sensie wykorzystujęc te dwa protipy stworzyliśmy dwuskładnikowy malware - pierwszy etap polega na przygotowaniu odpowiedniego klucza w rejestrze, natomiast drugi etap zadziała tylko wtedy, kiedy pierwszy się powiódł. Możemy zatem oba etapy rozłożyć w czasie (np. wysyłając 2 złośliwe dokumenty w dwutygodniowym odstępie), co może utrudnić analizę. 😈
Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.
