VBSAESStager
VBScript AES 舞台。冠状面。Ru C2。 kiley-delimiter 字符级混淆。来自 base64 blob 的 AES-CBC IV 前 16 个字节。 Invoke-Expression 解密的有效负载。 HKLM 运行密钥持久化。
威胁档案
类型
Loader
编程语言VBScript
C2协议HTTP
首次发现2023
目标
Küresel
用途 / 能力
- 装载机/载物台
C2服务器 1
| 地址 | 端口 | 协议 | 状态 | 操作 |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ C2 地址仅用于威胁情报和防御目的。未经授权访问这些地址属于违法行为。
研究报告 (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
阅读报告 →