详细内容或原文请订阅后点击阅览

使用 Binary Refinery 分析 TA551/Shathak Malspam

2024年4月16日 14:25 33 Comments
X Twitter Instagram Mail

这篇博文展示了开源框架“binary refinery™”如何提取复杂的 TA551 恶意垃圾邮件的下载 URL。

来源:bin.re _恶意软件

TA551,又名 Shathak 或 Gold Cabin,是一个攻击组织,负责传播各种恶意软件家族,包括 IcedID、Valak、Ursnif 以及最近的 BazarLoader。

这篇博文很好地解释了 TA551 如何通过电子邮件传播 BazarLoader。从恶意垃圾邮件到最终下载有效负载的 URL 有相当多的步骤:

这篇博文
    电子邮件包含一个 ZIP 附件,该附件受电子邮件文本中提供的密码保护。解压附件会转到一个 word 文档。word 文档包含一个 hta 脚本,通过将其设置为白色、1px 大小的字体来隐藏它。宏文件将该脚本写入磁盘并运行它。hta 脚本会反混淆并执行 Javascript。然后,Javascript 使用 ActiveX 从硬编码 URL 下载并运行 BazarLoader 有效负载。
  • 该电子邮件包含一个 ZIP 附件,该附件受电子邮件文本中提供的密码保护。
  • 解压附件会生成一个 Word 文档。
  • Word 文档包含一个 hta 脚本,该脚本通过将其设置为白色、1px 大小的字体来隐藏。 宏文件将该脚本写入磁盘并运行它。
  • hta 脚本会反混淆并执行 Javascript。
  • 然后,Javascript 使用 ActiveX 从硬编码 URL 下载并运行 BazarLoader 有效负载。

    • 在这篇博文中,我展示了如何使用框架 Binary Refinery 通过单个命令行获取最终有效负载 URL。您可以通过阅读官方文档或观看作者在 OALabs YouTube 频道上的演示来了解有关 Binary Refinery 的更多信息。

    Binary Refinery 官方文档 作者的演示

    我正在使用恶意软件流量分析提供的电子邮件示例,特别是这个恶意垃圾邮件示例。

    恶意软件流量分析 此恶意垃圾邮件示例

    从电子邮件中获取 Word 文档

    炼油厂 xtmail xtmail
    垃圾邮件 BazarLoader 附件 Javascript 有效负载 脚本 电子邮件 文档 示例 URL 提供 官方 分析 演示 hta