IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Scripts/Batch Discussion :

Backdoor en Powershell [PowerShell]


Sujet :

Scripts/Batch

  1. #1
    Membre chevronné Avatar de Lekno
    Femme Profil pro
    Étudiant
    Inscrit en
    Septembre 2010
    Messages
    883
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 883
    Par défaut Backdoor en Powershell
    Bonjour à tous, j'ai récupéré une backdoor envoyé par email à certain de nos collaborateurs. Par curiosité je tente de comprendre son fonctionnement. Seulement je ne parviens pas a comprendre comment fonctionne celle-ci, j'ai volontairement édité la data encodé la backdoor est non utilisable en l'état, je souhaite simplement comprendre les options

    Code bash : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    powershell -w 1 -C "sv NJ -;sv lr ec;sv hW ((gv NJ).value.toString()+(gv lr).value.toString());powershell (gv hW).value.toString() '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'"

    J'ai pré-remplis les lignes que je peux traduire, le reste m'est inconnu et rien dans la doc officiel powershell (ou pas les bons keywords?)

    • powershell : Appel executable powershell
    • -w 1 : Affichage de la fenêtre powershell
    • -C sv NJ -; : -C pour command sv pour Set-Variable
    • sv lr ec;
    • sv hW ((gv NJ).value.toString()+(gv lr).value.toString())
    • powershell : Appel executable powershell
    • (gv hW).value.toString()

  2. #2
    Membre chevronné
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2012
    Messages
    281
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Lot et Garonne (Aquitaine)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2012
    Messages : 281
    Par défaut
    salut Lekno

    Citation Envoyé par Lekno Voir le message
    Bonjour à tous, j'ai récupéré une backdoor envoyé par email à certain de nos collaborateurs. Par curiosité je tente de comprendre son fonctionnement. Seulement je ne parviens pas a comprendre comment fonctionne celle-ci, je souhaite simplement comprendre les options

    J'ai pré-remplis les lignes que je peux traduire, le reste m'est inconnu et rien dans la doc officiel powershell (ou pas les bons keywords?)
    je complète ta liste
    • powershell : Appel executable powershell
    • -w 1 : Affichage de la fenêtre powershell
    • -C sv NJ -; : -C pour command sv pour Set-Variable
    • sv lr ec; : sv pour Set-Variable la variable lr va contenir ec
    • sv hW ((gv NJ).value.toString()+(gv lr).value.toString()) : gv pour Get-Variable la variable HW va contenir -ec
    • powershell (gv hW).value.toString() : Appel executable PowerShell ; gv pour Get-Variable avec le paramètre -ec soit -EncodedCommand
    • 'JAB5.....AG' code en base 64 qui va être exécuté par PowerShell


    -EncodedCommand
    Accepte une version de chaîne codée en base 64 d’une commande. Utilisez
    ce paramètre pour envoyer des commandes à Windows PowerShell nécessitant
    des guillemets complexes ou des accolades.

    voici le code décodé en UTF-7
    je suppose que l'orignal est plus intéressent :
    Code powershell : Sélectionner tout - Visualiser dans une fenêtre à part
    $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@

  3. #3
    Membre chevronné Avatar de Lekno
    Femme Profil pro
    Étudiant
    Inscrit en
    Septembre 2010
    Messages
    883
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 883
    Par défaut
    merci pour ton retour, j'ai decode le code original en UTF-8 comme tu me l'as montré, ca reste pas évident à comprendre comme process, ca ressemble à de l'injection "brute" directement dans des DLL, si tu as des liens qui pourrai m'aider à comprendre ca. Je passe en résolu

  4. #4
    Membre Expert
    Avatar de sachadee
    Homme Profil pro
    AMI DU BAT
    Inscrit en
    Janvier 2013
    Messages
    1 478
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Brésil

    Informations professionnelles :
    Activité : AMI DU BAT
    Secteur : Distribution

    Informations forums :
    Inscription : Janvier 2013
    Messages : 1 478
    Par défaut
    Citation Envoyé par Lekno Voir le message
    Bonjour à tous, j'ai récupéré une backdoor envoyé par email à certain de nos collaborateurs. Par curiosité je tente de comprendre son fonctionnement. Seulement je ne parviens pas a comprendre comment fonctionne celle-ci, j'ai volontairement édité la data encodé la backdoor est non utilisable en l'état, je souhaite simplement comprendre les options

    Code bash : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    powershell -w 1 -C "sv NJ -;sv lr ec;sv hW ((gv NJ).value.toString()+(gv lr).value.toString());powershell (gv hW).value.toString() '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'"

    J'ai pré-remplis les lignes que je peux traduire, le reste m'est inconnu et rien dans la doc officiel powershell (ou pas les bons keywords?)

    • powershell : Appel executable powershell
    • -w 1 : Affichage de la fenêtre powershell
    • -C sv NJ -; : -C pour command sv pour Set-Variable
    • sv lr ec;
    • sv hW ((gv NJ).value.toString()+(gv lr).value.toString())
    • powershell : Appel executable powershell
    • (gv hW).value.toString()
    Sans le code complet c'est compliqué à definir ce que ça faît !

    Mais si c'est un backdoor ça va te permettre d'ouvrir une porte par un petit serveur ! qui va permettre de prendre le controle de ton calculateur,rien de bien compliqué.

    Je vois pas pas pourquoi tu cherches à cacher le plus important !

    Enfin pour ceux que ça interesse :

    https://github.com/samratashok/nishang


  5. #5
    Membre chevronné Avatar de Lekno
    Femme Profil pro
    Étudiant
    Inscrit en
    Septembre 2010
    Messages
    883
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 883
    Par défaut
    Tout simplement parce que cela fait partie des règles du forum, je ne souhaite pas diffuser de manière publique le code, j'ai eu contact avec d'autres membres pour une étude plus poussée du code originale via MP

    Y'a de l'assembleur ca devient trop compliqué pour moi

    Je passe en résolu

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. PowerShell - Traitement de fichier.txt
    Par koKoTis dans le forum Windows
    Réponses: 3
    Dernier message: 23/07/2007, 18h25
  2. [Vista] Comment ouvrir la console PowerShell ?
    Par wace dans le forum Windows Vista
    Réponses: 4
    Dernier message: 18/05/2007, 09h55
  3. Infecté par le virus Backdoor.Win32.Small.os
    Par debuthmx dans le forum Sécurité
    Réponses: 4
    Dernier message: 14/05/2007, 13h58
  4. Infection avec Backdoor.Trojan
    Par NeilaK dans le forum Sécurité
    Réponses: 2
    Dernier message: 19/08/2006, 10h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo