首页
社区
课程
招聘
记一次钓鱼邮件溯源
发表于: 2024-4-12 14:26 7183

记一次钓鱼邮件溯源

2024-4-12 14:26
7183

接到客户通知,发现疑似一份钓鱼邮件,要求进行研判并且溯源。
邮件大概如下:
image.png

压缩包更改为EML之后打开文件,压缩包内容如下:

PS:此处的index.exe初始状态为index.sc,为了方便分析这里改掉了原始后缀。其中最主要的可执行文件为index.exe,作用是通过这个exe去拉起那个html文件。

刚好开始没明白意图是啥,众所周知,Windows系统下是可执行文件的PE头如下:
image.png
直接打开的话状态如下:
ef042dd71bf6eb97651b44697e64398.png

这里有个令我感到疑惑的地方,这里面的这个.sc文件是EXE格式的,但是在Windows GUI下面去点击 他是默认不会当作exe去执行的,只有console才会当作EXE去执行。
但是钓鱼吧,肯定需要GUI方式触发,这里又是这种写法。
猜测意图应该是还有其他东西把这个文件启动,要么就是搞错了。。

企业微信截图_17109141659656.png
在这启动同目录下的indexrcs.html
企业微信截图_1710914319440.png
但目录下面的html文件叫index, 这里实际启动的html文件名字和文件夹里的不符 。
感觉攻击者疏忽了。
并且微步 virustotal都是全绿,后补一张图:
image.png

反虚拟机做的也不错, 检测你temp目录下面的文件,少于多少个,就不执行了。
正常物理机temp目录下几百个文件有的,虚拟机相对干净一些。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2024-4-12 14:29 被毅种循环编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (8)
雪    币: 23
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
如果是outlook挂VPN发送,有办法溯源吗?
2024-7-18 20:40
0
雪    币: 10044
活跃值: (7026)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不懂就问,都干这种事了为啥还会留这么明显的痕迹,省经费吗
2024-7-18 22:08
0
雪    币: 553
活跃值: (480)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
自己集团的员工?
2024-7-20 17:12
0
雪    币: 735
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
同时利用情报获取到一封PDF文件。确定了该员工为某集团信息部员工。             哪来的情报?怎么收集的???
2024-7-24 07:57
0
雪    币: 7172
活跃值: (3098)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
集团自查的吧,不是有大公司经常搞这加强内部意识的
2024-7-24 10:03
0
雪    币: 2991
活跃值: (2052)
能力值: ( LV8,RANK:140 )
在线值:
发帖
回帖
粉丝
7
shuyangzjg 集团自查的吧,不是有大公司经常搞这加强内部意识的
是呢 甲方的集团内部攻防演练
2024-7-24 10:15
0
雪    币: 220
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
mb_xljkfwcm 如果是outlook挂VPN发送,有办法溯源吗?

outlook用网页版发,是国外的地址,没法溯源

最后于 2024-9-14 10:28 被biock编辑 ,原因:
2024-9-14 10:28
0
雪    币: 286
活跃值: (3368)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
明显就是自查,,或者演练啥的
2024-9-14 11:24
0
游客
登录 | 注册 方可回帖
返回
//