CMDPSDropper
CMD 到 PowerShell 滴管。 .cmd 脚本中的 Rgqvr 垃圾字符串混淆。联系方式 vrstem.IO C2。最小化启动 PowerShell。嵌入式 base64 加密有效负载。 InvokeExpression 构造的字符串替换。
威胁档案
类型
Loader
编程语言CMD/PowerShell
C2协议HTTPS
首次发现2024
目标
Küresel
用途 / 能力
- 滴管/下载器
C2服务器 1
| 地址 | 端口 | 协议 | 状态 | 操作 |
|---|---|---|---|---|
vrstem.io
|
443 | HTTPS | INACTIVE |
⚠ C2 地址仅用于威胁情报和防御目的。未经授权访问这些地址属于违法行为。
研究报告 (1)
CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek
CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.
阅读报告 →