C-G-creator/LetsDefend-SOC336-Windows-OLE-Zero-Click-RCE-Exploitation-Detected-CVE-2025-21298

# LetsDefend SOC336：检测到 Windows OLE 零点击 RCE 利用 本仓库记录了我对一起 LetsDefend 警报的调查过程，该警报涉及与 CVE-2025-21298 相关的 Windows OLE 零点击远程代码执行漏洞利用。旨在展示从电子邮件分类到端点隔离的完整推导过程。 ## 概述 LetsDefend 在检测到发送给 `Austin@letsdefend.io` 的一封传入电子邮件中包含恶意 RTF 附件后，生成了此警报。该邮件发自 `projectmanagement@pm[.]me`，主题为 `Important: Action Required for Upcoming Project Deadline`。我查看了该电子邮件、附件、发件人详情以及端点活动，以确定此警报是否属于真正阳性。 ## 本仓库展示的内容 - 电子邮件分类。 - 附件和哈希分析。 - 威胁情报关联。 - 端点和进程审查。 - C2 与出站流量验证。 - 隔离决策过程。 ## 文件 - `writeup/SOC336-Windows-OLE-Zero-Click-RCE-Exploitation-Detected-CVE-2025-21298.md` — 完整的案例研究。 - `screenshots/` — 分析报告中使用的证据截图。 ## 主要发现 该活动符合真正阳性的漏洞利用尝试特征。恶意 RTF 附件、发件人详细信息、发件人 IP 以及端点进程行为均表明，这是一次成功的投递链，且伴随可疑的投递后活动。 ## 如何使用本仓库 请先阅读分析报告，然后按顺序查看截图。该 Markdown 文件的内容详实，在 GitHub 中无需额外上下文即可独立阅读。 ## 备注 本仓库采用自然、简洁的风格编写，读起来就像一份真实的 SOC 案例研究。

标签：C2通信, CVE-2025-21298, DAST, Go语言工具, LetsDefend, RCE, RTF恶意附件, Windows OLE, 主机取证, 事件调查, 威胁情报, 安全事件响应, 安全案例研究, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 端点安全, 编程工具, 网络安全, 补丁管理, 进程分析, 远程代码执行, 钓鱼邮件, 防御加固, 隐私保护, 零点击漏洞