chouaibtogola/boogeyman-phishing-investigation
GitHub: chouaibtogola/boogeyman-phishing-investigation
一份完整的钓鱼攻击 DFIR 调查案例,演示如何利用 Volatility 和 Olevba 对恶意 VBA 宏文档进行内存取证与攻击链全流程分析。
Stars: 1 | Forks: 0
# boogeyman-phishing-investigation
使用 Volatility 和 Olevba 对涉及恶意 VBA 宏、分阶段恶意软件投递、C2 通信及持久化分析的钓鱼攻击进行 DFIR 调查。
## 执行摘要
以下是 Quick Logistics LLC 的人力资源专家 Maxine Beck 收到的邮件,她收到了一份该公司某个开放职位的求职申请。邮件附件是一个名为 Resume_WesleyTaylor.doc 的恶意 Microsoft Word 文档,伪装成候选人简历。她打开了该文档,却不知道该附件是恶意的,从而导致她的工作站被入侵。
一旦执行,受害者无意中执行了 VBA 宏。该宏从远程攻击者控制的服务器下载了第二阶段的 payload 并在受害者的机器上执行。
执行后,恶意软件建立了与命令控制 (C2) 服务器的出站通信,使攻击者能够保持远程访问并可能部署额外的恶意活动。在初始入侵后不久,攻击者创建了一个计划任务以维持对受感染系统的持久访问。
# 我们该如何进行
让我们首先检查该恶意文档的 MD5 哈希值
让我们运行 olevba 来检查 Microsoft Office 文件中的恶意内容
我们可以看到下载第二阶段 payload 的恶意链接。我们还看到 wscript.exe 是执行该 payload 的程序。
我们现在检查它的唯一标识符 (PID)
现在你知道我们可以检查是哪个进程导致了上述进程吗?以下是我们的操作方法
让我们看看 C2 连接是如何建立的
下面是其 IP 地址及监听端口
我们可以基于内存转储检查恶意附件的完整路径
一旦执行,受害者无意中执行了 VBA 宏。该宏从远程攻击者控制的服务器下载了第二阶段的 payload 并在受害者的机器上执行。
执行后,恶意软件建立了与命令控制 (C2) 服务器的出站通信,使攻击者能够保持远程访问并可能部署额外的恶意活动。在初始入侵后不久,攻击者创建了一个计划任务以维持对受感染系统的持久访问。
# 我们该如何进行
让我们首先检查该恶意文档的 MD5 哈希值
让我们运行 olevba 来检查 Microsoft Office 文件中的恶意内容
我们可以看到下载第二阶段 payload 的恶意链接。我们还看到 wscript.exe 是执行该 payload 的程序。
我们现在检查它的唯一标识符 (PID)
现在你知道我们可以检查是哪个进程导致了上述进程吗?以下是我们的操作方法
让我们看看 C2 连接是如何建立的
下面是其 IP 地址及监听端口
我们可以基于内存转储检查恶意附件的完整路径
标签:C2通信, DAST, IP 地址批量处理, MD5校验, Olevba, SecList, VBA宏, Word宏病毒, 二阶段载荷, 内存取证, 命令与控制, 威胁情报, 库, 应急响应, 开发者工具, 恶意宏病毒, 恶意文档分析, 恶意软件分析, 持久化后门, 数字取证, 社工钓鱼, 网络信息收集, 网络安全, 网络攻击溯源, 自动化脚本, 计划任务, 远控木马, 逆向工具, 钓鱼攻击分析, 隐私保护, 黑客攻击复现