详细内容或原文请订阅后点击阅览
使用 Binary Refinery 分析 TA551/Shathak Malspam
这篇博文展示了开源框架“binary refinery™”如何提取复杂的 TA551 恶意垃圾邮件的下载 URL。
来源:bin.re _恶意软件TA551,也称为 Shathak 或 Gold Cabin,是一个攻击者组织,负责传播各种恶意软件系列,包括 IcedID、Valak、Ursnif 以及最近的 BazarLoader。
这篇博文很好地解释了 TA551 如何通过电子邮件传播 BazarLoader。从恶意垃圾邮件到下载有效负载的最终 URL 有相当多的步骤:
这篇博文- 电子邮件包含一个 ZIP 附件,该附件受电子邮件文本中提供的密码保护。解压该附件会生成一个 Word 文档。该 Word 文档包含一个 hta 脚本,通过将其设置为白色、1px 大小的字体来隐藏该脚本。宏文件将该脚本写入磁盘并运行它。hta 脚本反混淆并执行 Javascript。然后 Javascript 使用 ActiveX 从硬编码 URL 下载并运行 BazarLoader 有效负载。
在这篇博文中,我展示了如何使用 Binary Refinery 框架通过单个命令行获取最终有效负载 URL。您可以通过阅读官方文档或观看作者在 OALabs youtube 频道上的演示来了解有关 Binary Refinery 的更多信息。
二元炼油厂 官方文档 作者演示我正在使用恶意软件流量分析提供的电子邮件示例,特别是此恶意垃圾邮件示例。
恶意软件流量分析 此恶意垃圾邮件样本