木马 求分析
一个疑似APT组织的钓鱼样本
匿名用户 2019-02-16 21:17:43 976人浏览

本人捕捉到了一个疑似APT组织的钓鱼样本

是一个word的宏文件

打开之后要密码的


可能是定向攻击的一部分由于笔者未能找到邮件,所以就无法对其进一步的分析

但是笔者依靠ole文件的特殊储存方式来抓取了内置的恶意脚本


提取后


js代码格式化后,并且进行解密后得到

完整的代码我放到附件了,名字叫payload.js

然后初步分析感觉应该是有搜集系统信息的一些操作

应该是这次攻击的一个部分

当然笔者js很菜

所以还请各位dalao多多分析

威胁指标(IOC)
Hash(1) 检测结果 关联样本 微步标签 < 1/1 >
匿名用户 2019-02-18 14:58:03 回复
挺好的样例可惜没密码
匿名用户 2019-02-18 08:08:12 回复
payload.js 在哪儿呢
匿名用户 2019-02-18 13:15:27 回复
给你解出来了可以微步评论里放不下这个你可能关心https://logitech-cdn.com/
匿名用户 2019-02-19 12:40:39 回复
https://s.threatbook.cn/report/file/532b18f06e44c9a36a2c2c9ef5133c8f91b4589d3f6a041464b505d0d76d5e16/?sign=history&env=win7_sp1_enx86_office2013