hotterinc/MALVARE

# MALVARE — Loader.ps1 多阶段投递器（2026） 野外观测到的 **PowerShell 投递器** 研究仓库（以 `Loader.ps1` 或 `2.ps1` 的形式交付），包含从 `i.404.pm` 下载的 **UPX 打包的 stage-1 有效负载**。 **目的：** IOC 分享、静态分析参考和检测工程。 **语言：** 英文文档；示例脚本是恶意软件本身（不是辅助工具）。 ## ⚠️ 警告 `samples/` 目录下的文件是恶意的。**切勿在生产系统上运行它们**。参见 [DISCLAIMER.md](DISCLAIMER.md). ## 包含内容 | 路径 | 描述 | |------|-------------| | [samples/loader_outer.ps1](samples/loader_outer.ps1) | 外部阶段：自我删除 + gzip/base64 有效负载 + 内存执行 | | [samples/loader_inner.ps1](samples/loader_inner.ps1) | 内部下载器（371 行）：HTTP 获取，`CreateProcessAsUser`，`/accepteula` | | [samples/payload.b64](samples/payload.b64) | Gzip 压缩的内部脚本（base64） | | [samples/stage1_packed.bin](samples/stage1_packed.bin) | 来自 C2 的 Stage-1 PE（UPX，约 9.5 MB） | | [samples/pe_payload_reference.dll](samples/pe_payload_reference.dll) | 在受害者临时文件夹中找到的无关 143 KB AMSI stub（不是 stage-1） | | [docs/IOC.md](docs/IOC.md) | 犯罪指标 | | [docs/analysis-loader.md](docs/analysis-loader.md) | 投递器行为 | | [docs/analysis-stage1.md](docs/analysis-stage1.md) | Stage-1 静态分析 | | [docs/reporting.md](docs/reporting.md) | 提交 IOCs 以供社区/供应商关注的地方 | ## 杀戮链（摘要） ``` loader_outer.ps1 ├─ hidden PowerShell → delete dropper from disk └─ decompress payload.b64 → loader_inner.ps1 (in memory) └─ for each stage URL: Invoke-WebRequest → %LOCALAPPDATA%\Temp\.com CreateProcessAsUser (user session token) /accepteula delete file after process exit (default) ``` ## 阶段 URL（来自内部脚本） | 阶段 | URL | 本地名称 | |-------|-----|------------| | 1 | `https://i.404.pm/2026/04/17/1776411172-9642.jpeg` | `level1update.com` | | 2 | `https://example.com/api/level2update.exe`（占位符） | `level2update.com` | | 3 | `https://example.com/api/level3update.exe`（占位符） | `level3update.com` | `.jpeg` URL 提供的是 **PE 可执行文件**，而不是图像。 ## Hashes（SHA256） | 文件 | SHA256 | |----------|--------| | Stage-1 打包 | `676a0709a060929528bd5cb484d933629ca2a76a50be6f1e137106d7ec58a4d8` | | Stage-1 解包（约 29 MB） | *Defender 在写入时隔离；在虚拟机中本地解包 UPX* | | `pe_payload_*.dll`（受害者临时文件夹，无关） | `60e95f0635cddb431c646b12d671279b354be5c49c40723a3d09d66a367974b3` | | WinRootSvc.com（单独持久化，受害者） | `70db468fcca33ae6f235ca604d4288d8997d84903016d8a0b481e14cccdeb2c5` | ## Microsoft Defender 标签（观测到） - `TrojanDownloader:PowerShell/Genbhv.A` - `HackTool:PowerShell/PsAttack.E` - `Trojan:Win32/Wacatac.C!ml`（stage-1 解包） ## 网络 - C2 主机：`i.404.pm` → `91.229.23.31`（分析时） ## 横向移动 PowerShell 投递器 **不实现 SMB/WMI/LAN 传播**。风险是 **本地执行** + stage-1（特洛伊木马/下载器类）可能的 **凭证盗窃**。 ## 相关持久化（同一受害者，可能是不同的活动） 在 `C:\Windows\system32\WinRootSvc\WinRootSvc.com` 中的未签名服务 `WinRootSvc`（自动启动，WinHTTP）。在事件响应期间删除；上面的哈希值。 ## 引用 如果您使用此包，请链接到此仓库，并优先与 [MalwareBazaar](https://bazaar.abuse.ch/) / [ThreatFox](https://threatfox.abuse.ch/) 分享 **哈希值 + IOC** 以获得更广泛的可见性。 ## 许可证 文档和元数据：[CC BY 4.0](LICENSE)。`samples/` 目录下的恶意软件样本仅用于防御性研究——参见 [DISCLAIMER.md](DISCLAIMER.md).

标签：AI合规