文章插图
使用 CyberChef 提取 Payload
同样的也可以处理第二个加密块,也会还原成 PE 文件 。
文章插图
AgileDotNet 加壳的 AsyncRAT
生成的文件是一个使用 AgileDotNet 的 .NET 文件,使用 de4dot 进行反混淆后可以发现是远控木马 AsyncRAT 。
银行木马
从 2023 年 1 月开始,Qakbot 开始尝试使用 OneNote 作为恶意软件传播的载体 。后续 IcedID 也加入进来,使用带有嵌入式 html 应用程序的 OneNote 文件进行攻击 。
IceID 的分发攻击链如下所示:
文章插图
IceID 攻击链
攻击者的钓鱼邮件中包含一个名为 unpaid_4178-February-03.one 的附件,其中包含一个虚假 Microsoft 365 页面,欺骗用户双击查看云附件触发感染 。
文章插图
伪造页面
用户点击查看时,会在后台将 .HTA 文件放入失陷主机的 Temp 目录 。触发下载 IcedID 恶意软件与名为 invoice.pdf 的诱饵 PDF 文件,后者名为虚假发-票文档 。
文章插图
HTA 文件执行
文章插图
执行进程树
下载并执行 PowerShell 脚本,会下载 Cobalt Strike 的 DLL 文件 。这种行为类似于之前的 IcedID 和 Qakbot 变种,大约在 45 分钟后使用 Cobalt Strike 感染系统 。
文章插图
下载 Cobalt Strike
Qakbot 也是在点击 OneNote 文件后,HTA 文件利用 JAVAScript 代码对其中的混淆数据进行去混淆处理 。之后,通过 VBScript 代码创建一个注册表项并将去混淆的数据存储在其中 。单独的 JavaScript 代码创建一个 WshShell 对象并通过 curl 下载 Qakbot 。
文章插图
Qakbot OneNote 混淆
最新的 OneNote Qakbot 样本改变了它们的执行流程,从 HTA 改用 CMD 命令 。
文章插图
新的执行逻辑
信息窃密木马
Redline 是信息窃密类木马中积极使用 OneNote 文件进行分发的代表,如下所示:
文章插图
钓鱼文档
使用 onedump.py 分析后,可以发现多个数据块 。其中包含隐藏代码的 HTML 文件,有两个文件使用 URL 编码进行混淆 。CyberChef 解码后可以看出是 VBScript 脚本,会进一步下载并执行其他 Payload:
文章插图
解码 Payload
第三个文件是经过多层混淆的二进制文件,分别是 URL 编码、base64 编码、gzip 编码 。解码后输出的是 PowerShell 文件路径,会在后面的执行阶段使用 。
文章插图
解码脚本
推荐阅读
- Yann LeCun:不在乎社会规范,ChatGPT离真正的人还差得远
- 蝴蝶兰的浇水方式 蝴蝶兰浇水的正确方法
- 床头朝什么方向是正确的床 床头朝什么方向是正确的
- 乱斗火柴人正版 火柴人街霸
- 正常一场球赛多少分钟 一场球赛多少分钟
- 正确的三字经全文 三字经朗读
- 谭咏麟回应传闻 梅根回应传闻
- 正宗广式红豆沙糖水 红豆汤的做法
- ACRH17 绿箭侠17
- 猪皮冻的正确做法 高压锅皮冻