-
-
记一次钓鱼邮件溯源
-
发表于: 2024-4-12 14:26
-
接到客户通知,发现疑似一份钓鱼邮件,要求进行研判并且溯源。
邮件大概如下:
压缩包更改为EML之后打开文件,压缩包内容如下:
PS:此处的index.exe初始状态为index.sc,为了方便分析这里改掉了原始后缀。其中最主要的可执行文件为index.exe,作用是通过这个exe去拉起那个html文件。
刚好开始没明白意图是啥,众所周知,Windows系统下是可执行文件的PE头如下:
直接打开的话状态如下:
这里有个令我感到疑惑的地方,这里面的这个.sc文件是EXE格式的,但是在Windows GUI下面去点击 他是默认不会当作exe去执行的,只有console才会当作EXE去执行。
但是钓鱼吧,肯定需要GUI方式触发,这里又是这种写法。
猜测意图应该是还有其他东西把这个文件启动,要么就是搞错了。。
在这启动同目录下的indexrcs.html
但目录下面的html文件叫index, 这里实际启动的html文件名字和文件夹里的不符 。
感觉攻击者疏忽了。
并且微步 virustotal都是全绿,后补一张图:
反虚拟机做的也不错, 检测你temp目录下面的文件,少于多少个,就不执行了。
正常物理机temp目录下几百个文件有的,虚拟机相对干净一些。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2024-4-12 14:29
被毅种循环编辑
,原因:
|
|
|---|---|
|
|
|
|
|
不懂就问,都干这种事了为啥还会留这么明显的痕迹,省经费吗
|
|
|
|
|
|
|
|
|
|
|
|
是呢 甲方的集团内部攻防演练 |
|
|
|
|
|
|
