介绍
我们最近在 Malware Bazaar 上发现了一个与 Cobalt Strike 工具包相关的简短 .HTA 脚本。
该脚本使用了基本的混淆,可以使用 CyberChef 和文本编辑器将其删除。本博客将介绍我们的解码过程,包括如何解码以下混淆方法
-
Base64
-
URL 编码
-
间距过大
原始文件
用于此分析的文件可在 Malware Bazaar 的以下链接中找到
https://bazaar.abuse.ch/sample/2807199adde4730e5e89c5f0ed3d48380dac746a44fa1e5fe0ca0186743a97e0/?ref=embeeresearch.io
2807199adde4730e5e89c5f0ed3d48380dac746a44fa1e5fe0ca0186743a97e0分析
.HTA 文件在其初始状态包含少量 HTML 和大量 URL 编码字符。
解码 URL 编码内容的第一步是使用 CyberChef 之类的工具并URL Decode进行操作。
如下所示,这会解码内容但会揭示另一层 URL 编码。
第二层 URL 编码可以用另一个 URL Decode 操作来解析。
再次应用过滤器将删除最后的 URL 编码。
现在可以将内容移回文本编辑器进行进一步分析。
尽管脚本已删除 URL 编码,但脚本现在使用大量空格来阻碍分析。如下面的屏幕截图所示。
可以通过突出显示和删除来手动删除空格,但更有效的方法是使用正则表达式删除两个或更多空格字符s
通过执行搜索并替换查询ss+,我们可以看到过多的间距被突出显示并正确匹配。
通过指定单个空格的替换值,可以显著清理内容。
脚本内容现在可以轻松放入单个屏幕截图中。
可以使用以下方法在 CyberChef 中复制和解码 base64 blob:From Base64
最终内容包含更多过多的空格。可以重新应用与之前相同的正则表达式技术来修复此问题。
下面我们可以看到 Base64 操作以及通过正则表达式删除多余的空格。
删除空格后,很明显该代码是一个利用该URLDownloadToFile功能的下载器。
下一阶段文件的地址也清晰可见,包含值http://198.46[.]178.144/morningfiledatinglover[.]vbs
原文始发于微信公众号(Ots安全):使用 CyberChef 解码 Cobalt Strike 下载器脚本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论