十六进制编码的可执行文件

攻击者不断发展以逃避侦查。经常使用的流行方法是编码。例如,攻击者可能会选择对其恶意二进制文件进行编码以逃避检测; 攻击者可以使用各种技术来实现这一目标,但在本文中,我们将重点放在十六进制编码可执行文件的示例上。为此示例选择的可执行文件不是恶意的,而是合法签名的Microsoft二进制文件。
RSA事件响应小组在野外观察到这种逃避检测的方法。
Microsoft二进制文件被转换为十六进制并上传到Pastebin,这是攻击者经常看到的一个例子:

编写了一个简单的PowerShell脚本来下载和解码十六进制编码的可执行文件并将其保存到Temp目录:

上面的PowerShell将是Base64编码的,通常会看到类似下面的内容:

执行PowerShell脚本后。可以看到dllhost.exe已成功解码并保存到Temp目录中:

在仔细阅读数据包元数据后,分析师可以通过查看Indicator of Compromise密钥轻松找到此十六进制编码可执行文件的下载:

发表评论

电子邮件地址不会被公开。 必填项已用*标注