VBSAESStager
"VBScript AES 스테이저. coronafacial.Ru C2. 킬리 구분 기호 문자 수준 난독화. AES-CBC IV base64 blob의 첫 번째 16바이트. Invoke-Expression의 암호 \u200b\u200b해독 페이로드입니다. HKLM 실행 키 지속성."
위협 프로필
유형
Loader
프로그래밍 언어VBScript
C2 프로토콜HTTP
첫 감지2023
대상
Küresel
목적 / 기능
- 로더/스테이저
C2 서버 1
| 주소 | 포트 | 프로토콜 | 상태 | 작업 |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ C2 주소는 위협 인텔리전스 및 방어 목적으로만 공유됩니다. 이 주소에 대한 무단 접근은 범죄입니다.
연구 보고서 (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
보고서 읽기 →