昨日のPowerShellで実行されるコマンドって何だったの?(自分が知りたい)

-

皆さんこんにちは、紫夜千景です。


まずは謝罪から。

昨日と一昨日、2日連続で遅延証明書を発行する事態となり申し訳ございませんでした。

次からはこのような事態がないよう努力いたします。

不名誉な記録はここで途絶えさせるために頑張っていきます。



さて、気を取り直して今日は昨日の記事でできなかったやつを検証していこうと思います。


昨日できなかったこととは、そうまさに「コマンド解析」です。




その前に

※注意

今回の記事で、危なそうだなと千景さんが思ったところは載せていません。

もしコード、プログラムなど気になるという方がいらっしゃいましたらTwitterでもコメントでも良いので教えてください。

ただし、自分で行う際は自己責任でお願いします。


※追記:サンプルで保存してたコードやプログラムがWindows Defenderに消されたのでできなくなりました。ごめんなさい。





実はあのコマンド、YouTubeなどの注意喚起で出回っている動画では

「mshta」というWindowsの標準ツールを使っているのですが、実はそれが使われていないコマンドのやつがサンプルだったので調べるのに苦労しました。


ちなみにmshtaというのは、HTMLアプリケーションを起動させるツールでその後のコマンドに悪意のあるファイルへのリンクを乗っけることでそのファイルをダウンロードして実行させる仕様です。

そこら辺の解説はネットにいくらでもあるのでそちらを参照していただければと思います。


今回は、自分が当たったコマンドを問題ない部分まで載せて解説しようと思います。


こいつです。


最初の「powershell」は、powershellで実行することを意味しています。

これだけを昨日のWinキー+Rキーで実行できるツールに入力して実行するとpowershellというコマンドプロンプトの上位互換?みたいなのが立ち上がります。


その後に続いている「-win mini」は、powershellのウィンドウを最小化させるコマンドが続いています。

実は「-win mini」、このコマンド単体では実行することが出来ず先のpowershellを頭に置いて実行すると動作します。


その後の「-enc」、千景さんは何らかの暗号化方式で暗号化されていた続く文字列を復号するコマンドだと思ってたんです。

「enc」って文字が「encrypt」の略で本来なら「暗号化」って意味なのに千景さんは「復号」と勘違いしました。

勘違いが役に立ちましたが次からは気を付けます。


調べると「-enc」で使われている暗号化方式はBase64らしいのでデコードサイトを用いてモザイクで隠した文字列の部分を復号してみました。

すると


こんな文章になりました。


このコマンドを調べていくと「curl」というのは記事冒頭で解説したmshtaと同じものだと考えていただいて結構です。

実際ちょっと違いがありますが、ざっくり言うと大体一緒なので細かいことは省略します。


curlを用いてhttp://から始まるリンクのサイトにアクセスします。

最後の「Invoke-Expression」はサイト内部を調べた後に解説した方が都合が良いので後でします。


ここで表示されていたリンクにアクセスしたんですが、


謎の文字列がこれでもかというくらい乗ってるページにつながりました。

コマンドプロンプトでping飛ばしても何も起きなかったのでサーバー消えてると予想してたんですが予想外ですね。

文字数を計算してみたんですが、なんとまさかの23498文字ありました。

嘘やろ...


ちなみに、先ほどの「Invoke-Expression」は入力されている文字列をコマンドとして実行するように指定するコマンドです。

恐らくこのサイトの文字列をコマンドとして入力させ実行するコマンドが暗号化されて隠されていた。というのが復号したコマンドの動作だと思います。


しかし、23498文字もかけてコマンド作るでしょうか...?んなわけない。

コードを難読化させたことで、23498文字も使ってるんだと思います。


というわけなので、何も分からない素人がほぼ勘頼りで難読化されたコードの中で要らない部分を省いたところ、

「802」文字になりました。


22696文字も減ったのか...どんだけ難読化させてたんだ...

「流石に減りすぎだろ」

と思うかもしれませんが、PowerShellのコマンドは「$」が関係してるというヒントをこの記事を書いている途中で得たのでそれを探しながら難読化したコードを省いてました。


怪しいところが2文字ありますが、あってもなくても多分動作変わんないなと思ったので省いてません。


しかし、この省いて出てきたプログラムはPowerShellで動くコマンドで、千景さんはPowerShellのコマンド(プログラム?)は完全未履修なのでコマンド(プログラム?)の内容が分かったら記事にしようと思います。



Base64の解読あたりですぐ終わると思って記事書いてたけど、全然そんなことなかった。

コメント

コメントを投稿

このブログの人気の投稿

C言語の開発環境の構築方法(WSL, Ubuntuインストールもついでに)

-
イメージ
皆さんこんにちは、 紫夜千景 です。 今日は突然話題に入る形になりますが、 「 WSL、Ubuntuを用いたC言語の開発環境の構築方法 」についてです。 今回、WSLやUbuntuについての解説は かつて の記事 で行ったので省略します。 それでは解説していきます。 まず最初にWindowsにUbuntuを導入するために、 「Windowsの機能の有効化または無効化」から ・「 Linux用Windowsサブシステム 」 ・「 仮想マシンプラットフォーム 」 の2つの機能を有効化します。 「Windowsの機能の有効化または無効化」は、検索バーに入力すると出てきます。 この作業には 管理者権限 が必要になりますので注意してください。 「仮想マシンプラットフォーム」の項目が見つからない場合、下の画像のように「 Virtual Machine Platform 」のように英語になっている可能性があるので注意しましょう。 「Linux用Windowsサブシステム」も同様に「 Windows Subsystem for Linux 」と英語で表示される可能性があるのでしっかり確認しましょう。 と この2つの項目にチェックを入れてください。 これを有効化せずともUbuntuのインストールは可能ですが、動作しないのでこの機能をちゃんと有効にしましょう。 有効にしないとどうなるのか、復旧方法は この記事 を参考にしてください。 この2つの項目にチェックを入れるとパソコンを再起動するように言われるので、再起動しましょう。 すると機能が有効化されます。 再起動した後、既にWSLは使える状態になっていますがWSLのLinuxカーネルを更新する必要があります。 そのため、Windows PowerShellを起動し「 wsl --update 」を実行してください。 この作業にも 管理者権限 が必要になってくるので注意しましょう。 もしくは、 Microsoftのページ から「wsl_update_x64.msi」をダウンロードして 管理者権限 で実行することでもアップデートは可能です。 これでWSLの準備は完了です。 次に、 Microsoft Storeのページ から、Ubuntuをインストールします。 インストールが終わり、Ubuntuを起動すると このような画面が表示されます。 ...
続きを読む

部内ロボコンを見に行ってきた【前編】 (ロボコン生で見れてうれしかった)

-
イメージ
皆さんこんにちは、 紫夜千景 です。 昨日分の記事 が今までより大幅に遅れてしまって申し訳ありませんでした。 これからはベッドで記事を書こうとしないように心にとめておきます。 さて、本日は呉高専校内で行われた部活ロボコンを見に行ってきたのでその様子を2日間に分けてお送りしたいと思います。 1日分の記事でまとめるとかなりの内容になってしまいますので2日間に分けてその様子をお送りします。 本日分としましては、今回の部内ロボコンのルールや各チームの紹介とさせていただきます。 詳しい試合内容は明日の記事でお送りします!! 今回の部内ロボコンはAチームとBチームに分かれて対戦する形式となります。 競技名は 「100点ZONe」 です。 画像引用元: https://x.com/ROBO_workaholic/status/1912363262999482639   今回の試合内容は、エリアに配置されたジュースの缶をエリア中央の台に配置し、それで得た得点で競います。 真ん中の台に缶をどう置くかでも得点が変わり、 例えば下記の画像のように下の段に缶を配置すると40点が入ります。 (上の固まってるやつは気にしないでください) そして、上の段に缶を配置すると100点が入ります。 (こちらも上の固まってるやつは気にしないでください) しかし、台の上で配置できても倒れてしまった場合、1点が入ります。 今回は各チーム10本ずつ缶を用意し、その缶を配置して多くの点を得た方が勝利となります。 また、10本すべての缶を100点ゾーンに配置できると、その時点で勝利が決定します。 (友人に頼んで例として配置していただきました) 各チーム、それぞれの攻め方で高得点を狙い勝利することとなります。 ここからは各チームの機体紹介に移ります。 まずは Aチーム チーム名は 「にょういぼう」 、機体名は、 「玄武」 です。 ※漢字が分からなかったのでチーム名はひらがなです。 Aチームのリーダーの方の説明によると、 「奥の黄色いチューブなどを用いて缶を回収し、そこからある動作で全缶を100点ゾーンへ配置し、最大点を狙って勝利する」 という作戦で攻めるそうです。 また、本来の機体なら運ぶ・配置するの2つ工程が必要だが、期待にある工夫をすることでそれらをまとめて1つの工程で缶を配置することができるようになって...
続きを読む

アカウント乗っ取り最近多いよね (手口もなかなかお上手で)

-
イメージ
皆さんこんにちは、 紫夜千景 です。 今日は最近話題になっているXのアカウント乗っ取りです。 この前こんな感じのDMが送られてきたんですよね。 普通なら気になってクリックしてサイトを見ようとしてみますが、送られてきたのがDMで話したことないユーザーだったり、フォローしててもポストで話したことのないユーザーから送られてくることが多かったので一旦無視しました。 実際これの何が危ないかというと、このリンクをアクセスすると下記のような感じのページに飛ぶんですが、実はいくつかのリンクを経由してるので正確なページのリンクが分からないように偽装されてるんですよね。 最初はXの短縮リンクのサイトに行ったと思ったら、今度はWhatsAppで使われている短縮リンクのサイトに飛ばされて、最後はGoogle翻訳を通して下記の様なページに飛ばされます。 Google翻訳を使ってくるので本来のページのリンクが分かりづらくなっているのでめんどくさいですね。 念のためモザイク処理してます。 このサイトは、どのユーザーが今自分のXのプロフィールにアクセスしたかとかいうのを調べてくれるサイトだそうです。 危なくないように見えますが、これが落とし穴なんですよね。 実はこのサイトを使うにはXのアカウントに権限を与える必要があるんですが、ここが注意すべき点なんです。 本来なら、Xのアカウントに別でアクセスできるようにする際にはこんな感じの画面が表示されるはずです。 信頼できるところで撮ってきましたが念のため分からなくしてます。 しかし、Xで送られてくるDMのリンクのサイトでサインインしようとすると こんなログイン画面が出てきますが、これ正規のXのログイン画面じゃないのでこれにIDやパスワードを打ち込むと情報が変なところに送られてアカウントが乗っ取られます。 で、このログイン画面のタチの悪いところが存在しないユーザー名とか間違ってるパスワードとかを入力すると、ちゃんとエラー表示が出るようになってるんですよね。 サイトの作りには関心しましたが、やってることには悪意しかありません。 これでアカウントの正確なIDやパスワードを入力してしまうと、すぐアカウントが乗っ取られます。 実際、実験でちゃんとしたIDとパスワードを打ち込んだ矢先にメールに 知らない誰かがアカウントにログインしたという通知が飛んできました。 速攻...
続きを読む