详细内容或原文请订阅后点击阅览
快速帖子:Emotet 恶意文档中令人毛骨悚然的新 PowerShell 混淆
Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染使国家损失……阅读
来源:Security Soup _恶意软件分析Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部 表示 Emotet 感染给州和地方政府造成的补救成本高达 100 万美元。Emotet 由被称为 Mummy Spider 的威胁组织运营。
Emotet 表示 Mummy SpiderEmotet 通常通过启用宏的 Word 文档在网络钓鱼活动中传递。最近,我收到了一份较新的 Emotet 恶意文档。这份文档让我感兴趣的部分是,PowerShell 混淆方案在几个月内首次发生了重大变化。我认为有必要写一篇简短的文章,介绍一下这个新的 PowerShell 脚本的一些细节,并提供一个方便的 CyberChef 配方,以便分析师和响应者可以快速解码这些 PowerShell 脚本。
CyberChef我不会像往常一样深入挖掘,因为 Brad Duncan 已经在 SANS ISC 博客上对这次活动进行了很好的描述。如果读者有兴趣了解有关动态分析的更多详细信息,我强烈建议您在此处查看。
此处。在这种情况下,整体感染链基本保持不变:打开一个带有宏的恶意 Word 文档,这将调用生成 PowerShell 脚本的 WMI 进程调用。该脚本尝试从七个 URL 资源中下载核心二进制文件。
文档
该文件与 20 年 10 月 29 日的垃圾邮件有关,并利用了万圣节派对主题的社会工程诱饵。
- 文件名:Party Invitation.docSHA256:ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd