Zedocun/SOC-RTF-Exploit-Investigation

[](https://medium.com/@Zedocun/soc-investigation-malicious-rtf-exploit-leading-to-regsvr32-based-payload-retrieval-39c92eace85d) # SOC 调查：导致 Regsvr32 Payload 执行的恶意 RTF 利用 本仓库记录了一次模拟 SOC 调查，涉及一封钓鱼邮件投递的与 CVE-2025-21298 相关的恶意 RTF 附件。 调查重点是识别攻击链、分析端点遥测数据、审查网络活动并关联威胁情报，以确定该警报是否代表真正的安全事件。 ## 调查概述 调查是在 SOC 警报指示可能存在 Windows OLE 漏洞利用后开始的。 警报提示恶意 RTF 文档可能触发了端点上的可疑活动。 在调查过程中，证据显示该附件是通过钓鱼邮件投递的，随后触发了可疑命令执行，利用 regsvr32 从外部服务器检索远程脚本。 ## 主要发现 • 钓鱼邮件投递了恶意 RTF 附件 • 附件关联到 CVE-2025-21298 漏洞利用活动 • OUTLOOK.EXE 在端点上生成了 cmd.exe • regsvr32 被用于检索远程脚本（LOLBIN 滥用） • 检测到指向恶意基础设施的出站连接 • 威胁情报确认目标 IP 为恶意地址 ## 调查范围 调查包括对以下内容的分析： • 电子邮件安全日志 • 端点进程遥测 • 网络代理日志 • 恶意软件信誉分析 • 威胁情报数据 ## 结论 证据证实该警报属于真正的安全事件。 恶意 RTF 附件触发了可疑的执行行为，并导致从攻击者控制的基础设施中检索远程脚本。 没有证据表明恶意软件已被隔离或从端点移除。 ## 免责声明 本次调查是在受控的网络安全培训环境中进行的。 本仓库的目的是演示 SOC 调查方法和分析推理。

标签：C2通信, CVE-2025-21298, DAST, Go语言工具, IP 地址批量处理, LOLBIN, Regsvr32滥用, RTF漏洞利用, SOC分析, Windows OLE漏洞, 企业安全, 命令执行, 威胁情报, 安全调查, 安全运营中心, 开发者工具, 恶意软件分析, 案例研究, 知识库安全, 红队模拟, 终端检测, 网络信息收集, 网络安全, 网络映射, 网络流量分析, 网络资产管理, 隐私保护