stani-zholob/SOC_MTA_Double_Trouble
GitHub: stani-zholob/SOC_MTA_Double_Trouble
Stars: 1 | Forks: 0
# Double Trouble / 事件报告
本仓库包含流量分析练习的最终取证分析与事件报告。
https://www.malware-traffic-analysis.net/2017/04/21/index.html
## 📞 联系方式
如有任何问题或反馈:
* GitHub:[@stani-zholob]
* 邮箱:[zholobstanislav408@gmail.com]
# Double Trouble 分析
## 场景
Marcus Dunham 和 Marion Dunham 是兄弟,他们在父亲的企业 Dunham Hills Mortuary 工作。从小到大,他们分享一切,成年后这种趋势依然延续。例如在殡仪馆,他们共同使用一个名为 ***dunhambrothers@dunhamhillsmortuary[.]com*** 的联合邮箱地址。
多年来,这两兄弟惹了不少麻烦。由于他们顽皮的行径,Marcus 和 Marion 获得了“Double Trouble”的绰号。只要兄弟俩在场,事故总是成对出现。
# 任务
找出哪封邮件感染了哪台计算机。毕竟,这能有多难呢?
首先,我们决定检查所有 9 封邮件,创建了单独的文件来查看内部内容。对邮件进行了粗略检查。大多数邮件包含指向其他未知服务的链接,而其余邮件几乎没有有效载荷。每封邮件看起来都可疑。关键在于找出哪封邮件被打开后获取了恶意数据。
我们正在分析两个 PCAP 文件。两者的情况看起来都可疑。对于 Marion,他的计算机通过点击链接启动了感染,因为检测到了由 iframe 发起的可疑 GET 请求。
为此任务编写了一个小型脚本,用于在邮件文件中搜索字符串。替代方法:`grep -ri "string"`
链接已检查。
还发现了奇怪的文件和归档文件。
.zip
.doc
尝试从一封邮件中提取一个文件
检查所有 zip 文件后,发现了关联
# **Marion 的结论**
2017 年 4 月 8 日收到来自 `privileges@ns3.logomotion-serveur.com` 的钓鱼邮件,主题为“Package Delivery Notification”
附件压缩包 `FedEx-Parcel-ID-S0JM7T30.zip` 包含一个恶意 JavaScript 下载器,伪装成双重扩展名 (`FedEx-Parcel-ID-S0JM7T30.doc.js`)
用户解压并双击了 `.js` 文件,通过 Windows WScript 执行
该脚本通过 HTTP GET 请求从被入侵的域名(例如 `dev.alaw.net`、`tdricos.ru`)下载了 **Cerber** 勒索软件和 **Kovter** 木马。*通过静态代码和 PCAP 关联已确认*
Cerber 执行并加密了主机文件。网络日志显示向 `p27dokhpz2n7nvgr.1m3xsy.top` (23.249.163.4) 回连的 C2 回调,以及向合法的比特币 API (`api.blockcypher.com`、`btc.blockr.io`) 查询赎金操作。
主机已被勒索软件完全攻陷。需要立即隔离和修复。
# Marcus
在 PCAP 文件中发现了一个奇怪的 GET 请求,请求一个名为 trolls.jpg 的文件
该文件已导出进行分析
结果发现,我们的 .jpg 文件实际上是一个可执行文件
使用 sha256sum 对该文件进行了哈希计算
并将其提交至 VirusTotal 进行扫描。
正如我们所看到的,该文件声誉极差,包含恶意内容。
记录文件下载时间:2017 年 4 月 20 日 23:21:32
三天前,发现了一封包含以下内容的信件
```
Content-Transfer-Encoding: base64
PGJvZHkgdGl0bGU9IiI+V2hhdCdzIG5ldz8gPGJyPjxicj4NCkkgdmlzaXRlZCB5b3VyIHdlYnNp
dGUgdG9kYXkuLiA8YnI+DQpJJ20gY3VycmVudGx5IGxvb2tpbmcgZm9yIHdvcmsgZWl0aGVyIGZ1
bGwgdGltZSBvciBhcyBhIGludGVybiB0byBnZXQgZXhwZXJpZW5jZSBpbiB0aGUgam9iIGZpaWVs
ZC4gPGJyPg0KUGxlYXNlIGxvb2sgb3ZlciBteSBDViBhbmQgbGV0IG1lIGtub3cgd2hhdCB5b3Ug
dGhpbmsuPGJyPjxicj4NCg0KDQoNClRoYW5rIHlvdSBmb3IgeW91ciB0aW1lLCA8YnI+DQoNCi0t
IDxicj4NCnNlZSBzaGVuYW5kb2FoIG1lbW9yaWFsIGhvc3BpdGFsDQo8L2JvZHk+DQo=
----InfrawareEmailBoundaryDepth1_8AF3E921----
----InfrawareEmailBoundaryDepth1_70E27267--
Content-Type: application/msword;
name="see shenandoah memorial hospital.doc"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="see shenandoah memorial hospital.doc"
```
如果我们尝试使用合适的工具解码该文件,将得到以下消息
我们提取了文件本身并进行了哈希计算
`997e71a509bba6d363b1e7a7f4f5ba30e83babee12b15269bec40eb110f2a254`
然后在 VirusTotal 上运行
在隔离环境中使用 [reverse.it](http://reverse.it/) 工具,我们注意到该文件运行宏并触发重定向以下载 trolls.jpg,因此,邮件
```
2017-04-17-2155-UTC.eml
```
是 Marcus 的答案。Marcus 收到了一封求职申请信,信中通过 .doc 文件运行宏以感染 Marion 的计算机。
# Marcus 的发现
1. 2017 年 4 月 17 日,Marcus 收到一封来自虚假求职者 (`mautzel1982@t-online.de`) 的钓鱼邮件,主题为“Hi”。邮件附件是一个受感染的 Microsoft Word 文档 (`see shenandoah memorial hospital.doc`)。
2. Marcus 打开文档后,触发了一个隐藏的恶意宏(VBA 脚本)。
3. 该宏启动了一个后台 PowerShell 进程(`WindowStyle Hidden`),从攻击者的 IP 地址 (`185.165.29.36`) 下载了一个恶意可执行文件。为绕过基本安全措施,该文件被伪装成图片 (`trolls.jpg`),但实际是一个 Windows 可执行文件 (PE32)。
4. 脚本将下载的文件以 `.exe` 扩展名保存到临时文件夹并执行。随后,被攻陷的系统与 `myexternalip.com` 通信以验证其外部 IP 地址,并在 Tor 网络上生成流量。
该事件已成功调查。初始钓鱼邮件与网络痕迹(对 `trolls.jpg` 的请求)之间的关联已通过动态分析数据 (Hybrid Analysis) 100% 确认。
Stanislav Zholob
2026年5月24日
## 📞 联系方式
如有任何问题或反馈:
* GitHub:[@stani-zholob]
* 邮箱:[zholobstanislav408@gmail.com]
# Double Trouble 分析
## 场景
Marcus Dunham 和 Marion Dunham 是兄弟,他们在父亲的企业 Dunham Hills Mortuary 工作。从小到大,他们分享一切,成年后这种趋势依然延续。例如在殡仪馆,他们共同使用一个名为 ***dunhambrothers@dunhamhillsmortuary[.]com*** 的联合邮箱地址。
多年来,这两兄弟惹了不少麻烦。由于他们顽皮的行径,Marcus 和 Marion 获得了“Double Trouble”的绰号。只要兄弟俩在场,事故总是成对出现。
# 任务
找出哪封邮件感染了哪台计算机。毕竟,这能有多难呢?
首先,我们决定检查所有 9 封邮件,创建了单独的文件来查看内部内容。对邮件进行了粗略检查。大多数邮件包含指向其他未知服务的链接,而其余邮件几乎没有有效载荷。每封邮件看起来都可疑。关键在于找出哪封邮件被打开后获取了恶意数据。
我们正在分析两个 PCAP 文件。两者的情况看起来都可疑。对于 Marion,他的计算机通过点击链接启动了感染,因为检测到了由 iframe 发起的可疑 GET 请求。
为此任务编写了一个小型脚本,用于在邮件文件中搜索字符串。替代方法:`grep -ri "string"`
链接已检查。
还发现了奇怪的文件和归档文件。
.zip
.doc
尝试从一封邮件中提取一个文件
检查所有 zip 文件后,发现了关联
# **Marion 的结论**
2017 年 4 月 8 日收到来自 `privileges@ns3.logomotion-serveur.com` 的钓鱼邮件,主题为“Package Delivery Notification”
附件压缩包 `FedEx-Parcel-ID-S0JM7T30.zip` 包含一个恶意 JavaScript 下载器,伪装成双重扩展名 (`FedEx-Parcel-ID-S0JM7T30.doc.js`)
用户解压并双击了 `.js` 文件,通过 Windows WScript 执行
该脚本通过 HTTP GET 请求从被入侵的域名(例如 `dev.alaw.net`、`tdricos.ru`)下载了 **Cerber** 勒索软件和 **Kovter** 木马。*通过静态代码和 PCAP 关联已确认*
Cerber 执行并加密了主机文件。网络日志显示向 `p27dokhpz2n7nvgr.1m3xsy.top` (23.249.163.4) 回连的 C2 回调,以及向合法的比特币 API (`api.blockcypher.com`、`btc.blockr.io`) 查询赎金操作。
主机已被勒索软件完全攻陷。需要立即隔离和修复。
# Marcus
在 PCAP 文件中发现了一个奇怪的 GET 请求,请求一个名为 trolls.jpg 的文件
该文件已导出进行分析
结果发现,我们的 .jpg 文件实际上是一个可执行文件
使用 sha256sum 对该文件进行了哈希计算
并将其提交至 VirusTotal 进行扫描。
正如我们所看到的,该文件声誉极差,包含恶意内容。
记录文件下载时间:2017 年 4 月 20 日 23:21:32
三天前,发现了一封包含以下内容的信件
```
Content-Transfer-Encoding: base64
PGJvZHkgdGl0bGU9IiI+V2hhdCdzIG5ldz8gPGJyPjxicj4NCkkgdmlzaXRlZCB5b3VyIHdlYnNp
dGUgdG9kYXkuLiA8YnI+DQpJJ20gY3VycmVudGx5IGxvb2tpbmcgZm9yIHdvcmsgZWl0aGVyIGZ1
bGwgdGltZSBvciBhcyBhIGludGVybiB0byBnZXQgZXhwZXJpZW5jZSBpbiB0aGUgam9iIGZpaWVs
ZC4gPGJyPg0KUGxlYXNlIGxvb2sgb3ZlciBteSBDViBhbmQgbGV0IG1lIGtub3cgd2hhdCB5b3Ug
dGhpbmsuPGJyPjxicj4NCg0KDQoNClRoYW5rIHlvdSBmb3IgeW91ciB0aW1lLCA8YnI+DQoNCi0t
IDxicj4NCnNlZSBzaGVuYW5kb2FoIG1lbW9yaWFsIGhvc3BpdGFsDQo8L2JvZHk+DQo=
----InfrawareEmailBoundaryDepth1_8AF3E921----
----InfrawareEmailBoundaryDepth1_70E27267--
Content-Type: application/msword;
name="see shenandoah memorial hospital.doc"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="see shenandoah memorial hospital.doc"
```
如果我们尝试使用合适的工具解码该文件,将得到以下消息
我们提取了文件本身并进行了哈希计算
`997e71a509bba6d363b1e7a7f4f5ba30e83babee12b15269bec40eb110f2a254`
然后在 VirusTotal 上运行
在隔离环境中使用 [reverse.it](http://reverse.it/) 工具,我们注意到该文件运行宏并触发重定向以下载 trolls.jpg,因此,邮件
```
2017-04-17-2155-UTC.eml
```
是 Marcus 的答案。Marcus 收到了一封求职申请信,信中通过 .doc 文件运行宏以感染 Marion 的计算机。
# Marcus 的发现
1. 2017 年 4 月 17 日,Marcus 收到一封来自虚假求职者 (`mautzel1982@t-online.de`) 的钓鱼邮件,主题为“Hi”。邮件附件是一个受感染的 Microsoft Word 文档 (`see shenandoah memorial hospital.doc`)。
2. Marcus 打开文档后,触发了一个隐藏的恶意宏(VBA 脚本)。
3. 该宏启动了一个后台 PowerShell 进程(`WindowStyle Hidden`),从攻击者的 IP 地址 (`185.165.29.36`) 下载了一个恶意可执行文件。为绕过基本安全措施,该文件被伪装成图片 (`trolls.jpg`),但实际是一个 Windows 可执行文件 (PE32)。
4. 脚本将下载的文件以 `.exe` 扩展名保存到临时文件夹并执行。随后,被攻陷的系统与 `myexternalip.com` 通信以验证其外部 IP 地址,并在 Tor 网络上生成流量。
该事件已成功调查。初始钓鱼邮件与网络痕迹(对 `trolls.jpg` 的请求)之间的关联已通过动态分析数据 (Hybrid Analysis) 100% 确认。
Stanislav Zholob
2026年5月24日标签:DAST, PCAP分析, Wireshark, 句柄查看, 威胁分析, 安全事件响应, 恶意软件分析, 恶意链接, 感染链分析, 网络安全, 自动化侦查工具, 邮件分析, 隐私保护