プログラムコード消えて終わり(かと思いきや...)

-

皆さんこんにちは、紫夜千景です。



えー、昨日の記事の最後におきまして


こう書いたんですがこの後、保存していたプログラムコードをWindows Defenderに脅威判定されてプログラムコードが書かれていたtxtファイルが消されました。


危ないこと書いてあるからバックアップしなかったのが裏目に出ました。

うーわマジか...と思いながらどうにかならんかと代わりを探していたところ...




5分でかつて使っていたのとまったく同じサンプルが手に入りました。




これで一安心です。

とりあえず、Windows Defenderに検知されないようにするために急いで記事を書きます。


しかし、私はPowerShellコード?やプログラム?なんて一切分からないので今回はChatGPTに聞くことにしました。


今回も危ない部分にはモザイクをかけます。コードやプログラムが気になる方もいるかも知れませんが、ご了承ください。


昨日の記事では公開していませんでしたが、23498文字の難読化されたコードから802文字のコードに簡略化すると


こんな感じのコードになります。

問題になりそうな部分が冒頭にしかなくて助かりました。


PowerShellに詳しい方はすぐ分かるかもしれませんが、千景さんは分からないのでChatGPTに聞いてみました。





ほうほう。

と、ChatGPTの説明を受けて改めてコードを見直したらなんとなく動作が理解できました。


動作を説明すると

  • 変数1を使って文字列を保存。
  • 変数1の文字列にある「#」を「2」に、「%」を「3」に置き換えた文字列を変数2に保存。
  • 変数2の文字列を2文字ずつ区切り、それを16進数として変換する。その変換した16進数をバイト配列として変数3に保存。
  • 変数3のバイト配列をASCII文字列に変換して変数4に保存。
  • 変数4の最初の3文字と39文字目以降を取得し、それをPowerShellでコマンドとして実行。


という動作です。


これの手順を踏んで、最後の手順を行う手前の変数4に保存されている文字列がおそらくこれです。


モザイクで隠している部分はリンクで、マルウェアのダウンロードリンクだと思われます。


実は、最後の手順をChatGPTにテストさせたんですがなぜか最後の手順を行う前と同じ文字列が出力されるんですよね。

もしかしたらプログラムが違うかもしれないし、ChatGPTがどこかで間違ってるかもしれないですね。


この文字列をPowerShellで実行するとどうなるのか最後に聞いてみると


と教えてくれました。これを教えてもらった後にコードを見るとなんとなく動作が理解できる。


これの動作原理は

  • iex(昨日の記事で出たInvoke-Expressionと同じ)を使って文字列をコマンドとして実行、処理。
  • 「new-object net.webclient」と続くコマンドで「WebClient」オブジェクトを作る。
  • 「;」で一旦区切る。
  • もう一度iexを用いて先ほど作った「WebClient」オブジェクトを使い「downloadstring」メソッドを呼び出し、対象のURLからマルウェアをダウンロードする。
だと思います。

ここら辺あんまり理解が浅いので正確な動作原理がイマイチです。


ここ3日の記事をまとめて結論を上げるなら

「偽のreCaptcha認証を通してユーザーが知らずのうちにPowerShellを使って実行したコマンドを起点に難読化処理されたプログラムやコード、コマンドを用いてマルウェアをダウンロードし、実行させる。」

というものだと思います。


難読化処理されたプログラムなどを使っている点が厄介ですよね。何されるか分かんないんだもん。

でも、Windows Defender側も難読化されたPowerShellのプログラムコードを脅威として検知して対処されたのでセキュリティ側も黙ってはいないようです。

消されたときは不安だったけど、セキュリティがちゃんと反応してくれた時はなんか安心しました。




マルウェアをダウンロードして動作を調べてみるのもアリだと思いましたが、exeファイルをダウンロードする時点でセキュリティに弾かれそうなのもありますし、ダウンロードできてもWindows Defenderが脅威としてすぐ削除してきそう。

たとえそれらを潜り抜けてもexeファイルの解析環境なんか無いので、ここでこの話題は終わりにしたいと思います。

(正直マルウェアダウンロードしたくないもん、怖い。)




昔独学でほんのちょっとやってた分野のことだったのでここ数日は楽しく記事が書けました。

また興味が出てきたり、こんな感じの話題を見つけたら今回みたいなのを書こうと思います。






最後に一言

つかれた!!!!!!!!!!!!!!

コメント

コメントを投稿

このブログの人気の投稿

パソコンの選び方!!(できる限り詳細に)

-
イメージ
皆さんこんにちは、 紫夜千景 です。 しばらくはエナドリに困ることはありません。 だって友達が買ったの1箱(24本)くらい余ってるんだもん。 といっても、昨日Twitterで飲まないとか言ってたやつが何言ってんだと思うかもしれませんが考えてみれば飲む量さえ気をつければどうにかなることに気づいたので飲みます。 Q:エナドリが体に合わないのは? A:ピンク色のモンスターなら飲める。 追記:1本で体調崩しかけたのでしばらく控えます。 ここ数日、高専に合格してる人をちらほらTLで見かけます。 合格発表で、高専に入学準備を進める人もいると思いますので、今回は高専で使うパソコンの選び方について解説したいと思います。 できる限り、詳細に書きたいと思います。 Q:OSは? A:Windows11一択。それ以外はない。 →別にWindows10でも構いませんが、Windows10は2025年10月14日でサポートが終了するほか、Windows10とWindows11で要求される機能や性能が違いすぎるのでここはWindows11にしましょう。Windows11にアップグレードできないパソコンを買うとすぐに買い替えるはめになります。 MacOSでも良いのですが、高専で使うソフトウェアと互換性がなかったりするのでやめておきましょう。 Q:CPUは何を使えばいいの?Intel?AMD? A:正直どっちでも良いけどIntelならi7、AMDはRyzen7。 →Intelなら第13世代、Ryzenは7000シリーズ以上を選びましょう。多少オーバースペックになるほうが高専にいる間は使えます。お金がもう少し出せるならi9、Ryzen9でも良いと思う。できる限り性能の高い新しめのCPUを選びましょう。 Q:メモリはどれくらい?8GB? A:高専で8GBに人権があると思うな。 →高専で使えるパソコンのメモリは16GB以上です。8GBのメモリでは高専で生きてはいけないと思ってください。8GBで生きていけないことはないですが、後のことを考えると余裕で足りなくなります。しかしCADやVSCodeを使っていると16GBが不満に思えてくるときもあるので、できるなら32GBでも良き。というより32GB選んどけ。64GBはオーバースペックですが流石にオーバースペックがオーバースペックすぎるので止めておきましょう。 Q...
続きを読む

部内ロボコンを見に行ってきた【前編】 (ロボコン生で見れてうれしかった)

-
イメージ
皆さんこんにちは、 紫夜千景 です。 昨日分の記事 が今までより大幅に遅れてしまって申し訳ありませんでした。 これからはベッドで記事を書こうとしないように心にとめておきます。 さて、本日は呉高専校内で行われた部活ロボコンを見に行ってきたのでその様子を2日間に分けてお送りしたいと思います。 1日分の記事でまとめるとかなりの内容になってしまいますので2日間に分けてその様子をお送りします。 本日分としましては、今回の部内ロボコンのルールや各チームの紹介とさせていただきます。 詳しい試合内容は明日の記事でお送りします!! 今回の部内ロボコンはAチームとBチームに分かれて対戦する形式となります。 競技名は 「100点ZONe」 です。 画像引用元: https://x.com/ROBO_workaholic/status/1912363262999482639   今回の試合内容は、エリアに配置されたジュースの缶をエリア中央の台に配置し、それで得た得点で競います。 真ん中の台に缶をどう置くかでも得点が変わり、 例えば下記の画像のように下の段に缶を配置すると40点が入ります。 (上の固まってるやつは気にしないでください) そして、上の段に缶を配置すると100点が入ります。 (こちらも上の固まってるやつは気にしないでください) しかし、台の上で配置できても倒れてしまった場合、1点が入ります。 今回は各チーム10本ずつ缶を用意し、その缶を配置して多くの点を得た方が勝利となります。 また、10本すべての缶を100点ゾーンに配置できると、その時点で勝利が決定します。 (友人に頼んで例として配置していただきました) 各チーム、それぞれの攻め方で高得点を狙い勝利することとなります。 ここからは各チームの機体紹介に移ります。 まずは Aチーム チーム名は 「にょういぼう」 、機体名は、 「玄武」 です。 ※漢字が分からなかったのでチーム名はひらがなです。 Aチームのリーダーの方の説明によると、 「奥の黄色いチューブなどを用いて缶を回収し、そこからある動作で全缶を100点ゾーンへ配置し、最大点を狙って勝利する」 という作戦で攻めるそうです。 また、本来の機体なら運ぶ・配置するの2つ工程が必要だが、期待にある工夫をすることでそれらをまとめて1つの工程で缶を配置することができるようになって...
続きを読む

高専入試について推薦落ちた人たちが解説 (ぜったい今の時期にやることじゃない)

-
 今回のブログは、ゆずらす君(高専の友人)とともにお送りします。 皆さんこんにちは、昨日の ク リ ス マ ス はいかがでしたか? 私は昨日このブログを開設したので普通に充実した1日でした。 本日は、私が在学している高等専門学校の入試についてお話ししようと思います。 高等専門学校(高専)の入試には2つの入試方法があります。 ・推薦入試 ・学力入試 学力入試は、当日のテストの結果と調査書を主に使います。(私の高専はおよそ5:4の配分で決まります。) しかし、高専の入試には大体1月に行われる推薦入試という合格すれば2か月は好きに使える(どう使うかは自分で考えましょう)夢のような入試方法があります。(合格すればね) ということで、本日は推薦入試受けたけど落ちて学力で高専入った管理人と、とある推薦の方法が使えず、最終的に学力で高専入ったゆずらす君との対談形式の解説をお送りします。 注意 この解説には一部誤った情報がある可能性がございます。もしございましたらコメントでご指摘ください。対応いたします。 以下、ゆずらすと管理人による対談解説 ゆずらす「自分ね、最初の入試は推薦で受けたんだけど一般の方を使った。推薦入試には2つの種類があって、一つは一般推薦。これは誰でも使える私立とかである推薦と若干の違いはあるものの大体一緒。 で、もう一つの推薦方法は 特別推薦 って呼ばれるちょっと特殊な推薦。これは、ある一定の条件を満たしていないと使えない推薦。うちの高専の場合は中学校3年間で9教科の成績が5段階評価で合計114以上ある人、言い方を変えれば9教科の平均が4.2以上ある人が使える。でもこれだけじゃ足りなくて、簡単に言うなら大会とかで良い成績残したり、良い資格持ってるひとがさっき言った成績の面もクリアしてたら使えるすごい推薦。」 ※うちの高専の入試の詳しい解説は こちら です。これを見ると分かりやすいかと。 管理人「ちなみに、特別推薦使ってた人は管理人のときの入試で5人しかいなかった。結構ハードル高いんだよねあれ。自分は頭良くなかったし、条件に当てはまる資格なんか持ってなかったから一般推薦使って受けたよ。落ちたけど。」 ゆずらす「でも自分特別推薦の条件クリアしてたんだけどね。」 管理人「えっ?でもゆずらす一般推薦で受けてなかった?」 ゆずらす「実は悲しいことに特別推薦使えるは...
続きを読む