-
-
Gamaredon样本
-
发表于:
2020-9-9 17:04
4294
-
0x0 概述
GamaredonAPT组织是疑似具有东欧背景的APT团伙,该组织攻击活动最早可追溯到2013年,其主要针对乌克兰政府机构官员,反对党成员和新闻工作者,以窃取情报为目的。
0x1 样本基本信息
MD5:b822955afc0fff5b4ce7fa261b411eb0
文件类型:docx
报毒名:Exploit.CVE-2017-0199
0x2 样本分析
因为知道是docx的样本,这类样本是不带宏的,一般攻击者便尝试执行远程文件中宏
当打开样本的时候可以发现正在下载东西
用7z打开我们的样本在.\word_rels\settings.xml.rels在这个文件里面有着下载的链接
远程链接的位置也找到了,但是新的问题又出现了,这段字符串在docx中是如何起作用的?
settings.xml.rels是用于定位文档各零件的Target表示零件的文件位置,正常情况下,给值是相对路径,且存在于压缩包中:通过恶意构造Target,使其执行远程文件,就可以打开远程文件
。打开文档可以翻译下看出确实是争对乌克兰的攻击
准备下载样本分析,发现样本下载不到了啦啦啦。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)