ssongkim03/powershell-malware-analysis

# 🔍 PowerShell 恶意软件分析 (6ffb.ps1) ## 📋 分析概述 | 项目 | 内容 | |------|------| | 文件名 | `6ffb.ps1` | | 恶意软件类型 | 信息窃取器 (Infostealer) | | 分析环境 | Windows 10 隔离虚拟环境 | | 恢复的 C2 地址 | `101.36.114.190` | | 伪装域名 | `accounts.kakao.com` / `nate.php` | | 感染途径 | 估计经由 VBS 投放器 (`dose.vbs`) | ## 🧪 分析方法 ### 静态分析 - 使用记事本/PowerShell 控制台了解源代码结构 - 手动解除使用 `+` 运算符的字符串分割混淆 → 恢复 C2 地址 - 确认 User-Agent 拼写错误技术 (`Chremo`, `Edgo`) ### 动态分析 - 使用 PowerShell ISE 逐步执行并监控行为 - 将 C2 地址更改为 `localhost` 并注释掉 `Remove-Item` 后安全执行 - 确认在 `$TEMP` 路径下生成 `processlist.zip` 并尝试通过 HTTP 传输 ## 🚨 主要恶意行为 | 行为 | 命令 | 目的 | |------|--------|------| | 进程收集 | `Get-Process` | 了解安全解决方案 | | 杀毒软件检测 | `Get-WmiObject Win32_AntiVirusProduct` | 制定绕过策略 | | 用户账户收集 | `Get-LocalUser` | 获取提权基础 | | IP 收集 | `Get-NetIPAddress` | 了解网络配置 | | ZIP 压缩传输 | `Compress-Archive` + HTTP multipart | 向 C2 渗透数据 | | 销毁痕迹 | `Remove-Item -SilentlyContinue` | 阻碍取证 | ## 🛡️ 防御对策 1. **限制执行策略** — 确认通过应用 `Set-ExecutionPolicy Restricted` 进行拦截 2. **Script Block Logging** — 使用事件 ID 4104 记录解除混淆后的实际命令 3. **网络监控** — 过滤包含拼写错误的 UA (`Chremo`/`Edgo`)，监控 HTTP 上传阈值 4. **EDR/WMI 监控** — 检测 `SecurityCenter2` 查询，监控 `$TEMP` 下 ZIP 文件的生成 ## 📄 分析报告 📑 [查看报告 (PDF)](./powershell-malware-analysis.pdf) ## 🎬 分析演示视频 [](https://youtu.be/AhPE8gGf4PI)

标签：AI合规, ATT&CK框架, C2通信, Conpot, DAST, EDR, Infostealer, IPv6, meg, OpenCanary, PowerShell, VBS脚本, Windows安全, 云安全监控, 云资产清单, 信息安全, 反取证, 合规性检查, 后渗透, 威胁情报, 安全实验报告, 安全评估, 开发者工具, 恶意软件分析, 无线安全, 沙箱分析, 网络安全, 脆弱性评估, 行为监控, 逆向工程, 隐私保护, 静态分析