题目
题目如上图,财务团队收到一封看起来很重要的电子邮件,其中包含一个附加的Word文档。你能看一下并确认它是否是恶意的吗?
doc文档分析
因为题目提供的文件是doc文档,所以笔者先用Word软件打开,一打开就提示宏被禁用了,问是否要开启。看到这个就知道该文档十有八九包含了恶意的宏。本打算直接进入编辑宏,看一下宏的代码,结果提示要输入密码…
于是换一种思路,使用strings
命令,看一下doc文档中的字符串:
strings -n 8 UrgentPayment.doc
如上图,可以看到有一处powershell的命令,且后面的执行内容进行了base64编码,非常可疑。于是进行base64解码:
如上图,base64解码后,可以看到攻击者将原本的powershell命令进行了混淆。
笔者在github上找了一个可以对powershell脚本进行静态分析和去混淆的工具powershellprofiler
(参考[1]
)。
将上述base64解码后的内容拷贝到文件 test.ps1
然后执行以下命令去混淆:
python3 PowerShellProfiler.py -f files/test.ps1 -d
结果如下:
可以看到flag就在去混淆后的url路径中。
参考
[1] hxxps://github.com/pan-unit42/public_tools/tree/master/powershellprofiler