以网址 https://www.youtube.com/watch?v=dQw4w9WgXcQ 为例,下下来发现有两个文件 song.mp3 和 somg.mp3
检测出来 somg.mp3 是一个 windows 快捷方式文件 .lnk ,其一般作为别的程序的启动器
exiftool 看一下详细信息
拿到 song.mp3 的作者 Tyler Ramsbey
注意最下面的地方, Local Base Path 即是该 lnk 文件调用的文件位置,即 Powershell
Command Line Arguments 即是通过 Powershell 执行的命令参数:
-ep Bypass设置Powershell执行策略为Bypass,即其不会阻止脚本运行-nop启动时不加载任何配置文件,提高运行速度-c后跟Powershell指令:Net.WebClient创建一个对象并通过该对象下载文件,iex再执行下载后的IS.ps1
在下面看到 C2 服务器地址 http://papash3ll.thm/data" :
现在该溯源了,由于是有 github 网站的,所以并不需要像题上的那样搜代码里的敏感字段 Created by the one and only M.M
直接搜这个就行:
得到作者信息 Mayor Malware:
在这里看到提交历史记录,次数是 $1$