使用VSCode远程调试恶意Powershell脚本

2020-09-29 5,996

概述

在野的Powershell恶意脚本总是经过多重混淆、加密,直接静态分析难以得知脚本具体有什么恶意行为,所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE,但ISE没有较友好的调试窗口,使得调试脚本时效率低下,下面,将介绍使用VSCode实现远程调试Powershell脚本,帮助你提升解密分析Powershell恶意脚本的效率。

样本获取

本次演示所使用的样本为一个Powershell后门,其特点是有多层恶意代码,会从C&C服务器多次加载不同payload。

图片1.png

 

母体为一个bat脚本,主要功能就是执行一段base64加密后的Powershell脚本。

图片2.png

 

解密后的代码,正是这个样本的核心代码,接下来就开始对其进行调试分析。

图片3.png

 

虚拟机环境搭建

首先虚拟机建议使用Win10,因为VSCode的远程调试功能与Win10兼容性更好,同时,建立远程会话需要将虚拟机里的网络类型设置为专用。

图片4.png


然后在虚拟机里运行:winrm quickconfig,即可开启Windows 远程管理(WinRM) 服务。

图片5.png

 

为了在虚拟机里成功运行调试Powershell脚本,还需开放脚本执行权限set-executionpolicy unrestricted,以及关闭Windows Defender。 

本机VSCode环境搭建

远程调试,需要安装Powershell插件,打开VSCode,直接在商店搜索直接安装即可。

图片6.png


在Powershell控制台中输入:Enter-PSSession -ComputerName [虚拟机ip] -Credential [虚拟机用户名],敲入密码,即可远程登录到虚拟机。然后将待调试的脚本放入虚拟机中,输入:psedit [虚拟机中的脚本路径],加载目标脚本。

图片7.png 

远程调试分析

在关键代码处下断点,按下F5调试便可以运行到断点处,右侧则是变量的值,通过调试我们可以得知该段代码的作用是从http://miranda.tattooforsure.com:8888/admin/get.php读取恶意代码并执行。

图片8.png

 

VSCode远程调试也支持编辑脚本,可以新增一行代码:$payload = -JOIn [ChAr[]](& $R $Data ($IV + $K)),将下载的恶意代码赋值给$payload,便可以从调试窗口中获取到$payload的值了。

图片9.png

 

复制$payload的值,保存为payload.ps1进行调试。发现其结构很简单,声明Start-NEGOtiatE函数并进行调用。值得注意的是,函数执行需要传入母脚本的$ser、$u、$hop参数。

图片10.png

 

payload.ps1的功能为上传终端的域名、用户名、主机名、IP、OS版本以及Powershell版本信息,为了绕过检测,其会使用R**对上述信息进行加密,并在传输之前先上传R**秘钥。

图片11.png

 

上传的C&C地址为http://miranda.tattooforsure.com:8888/login/process.php,上传完毕后,C&C还会返回第二阶段的payload。

图片12.png

 

将第二阶段的payload保存为payload2.ps1并打开,原来就是个函数定义,函数名为U5BS3,然后在payload.ps1中进行调用。

图片13.png

 

为了方便调试,我们直接将U5BS3函数定义复制到payload.ps1中。单步步过:U5BS3 -Servers @(($s -split "/")[0..2] -join "/") -StagingKey $SK -SessionKey $key -SessionID $ID -WorkingHours "WORKING_HOURS_REPLACE" -KillDate "REPLACE_KILLDATE" -ProxySettings $Script:Proxy,就能调试进U5BS3函数内部了。

图片14.png

 

通过搜索特征代码,可以确认这段代码就是开源的Empire代码,是个Powershell的攻击框架。

图片15.png

 

这段代码就是核心的后门代码了,根据C&C服务器下发的指令码,执行相对应的恶意操作,这里就不详细分析了。

图片16.png

总结

对于恶意样本分析,都必须在虚拟机环境操作,所以远程调试是个不错的选择。而VSCode作为微软开发的脚本IDE,对Powershell远程调试的功能是很完善的,大家可以通过VSCode远程调试功能,提升解混淆分析恶意Powershell脚本的效率。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/142385.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:194 积分: 1500

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号