遇到一个有趣的样本，觉得挺有趣的，就分析了一下。

0x01-----------------execl下载器部分

用了一个模糊图片，欺骗用户点击启用宏。

使用oletools的工具中的olevba3.py就可以初步判断是恶意xls了

当我们点击那个启用宏的按钮时，会触发Submit()方法，然后execl会创建一个wscrpt.shell的object来运行.net的编译器来编译远程的payload, ，ec2-18-191-166-175.us-east-2.compute.amazonaws.com\webdav\msbuild.xml

0x02--------------------msbuild.xml分析

msbuild.xml包含了恶意的c#源码。该源码中包含了C2的地址。和被base64编码和Deflat压缩过的恶意程序。使用msBuild.exe来绕过杀软等的检测这种方式已经被很多组织利用了。比如著名的APT组织海莲花等。

经过解码和解压缩之后，通过使用Aseeembly.Load等方法，实现直接在内存中加载恶意程序的功能。

0x03---------------------解密恶意文件

这里我稍微改了一下这个病毒的源码，让它不执行，而是将解密的程序输出到文件。接下来我们使用dnspy来分析这个恶意程序。

0x04-----------------------恶意程序以及关联开源项目分析。

这这之前看了一下那个C2的地址，443端口上面没有任何东西。

程序的基本类和方法如下图。

因为C2的443端口上没有放置任何东西。所以针对这个C2的分析继续不下去了。继续搜索一些这个样本中的信息，发现这个样本使用的是一个开源的后渗透框架-SILENTTRINITY。

https://github.com/byt3bl33d3r/SILENTTRINITY，该开源框架的工作机制如下。

所以本篇所介绍的样本，在Server端没有部署成功。导致stage.zip无法下载。

该框架的client端的所有代码全部定义在 public class ST中。定义了三个静态变量。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课