收到某红队钓鱼,好家伙不跳chrome官方跳到阿里oss???
image.png
下载分析一波,初始化加载后会继续下载一个exe
image.png
放机子里运行外链到该地址
image.png
cs马额...
image.png
继续分析word.exe,该程序为伪造word文档图标的Cobalt Strike加载器。通过C&C交互下载后续载荷,内存解密Beacon远控木马执行。
image.png
当前tls层链接ip均为cdn,以此方式隐藏真实IP。域前置发送host为search.baidu.com。
image.png
整个流程差不多这样子:
image.png
目标太复杂了....估计vpn是公安提供的.....没后续 再见ntmd
域前置所使用CDN服务器
221.230.142.27:443
43.243.235.149:443
117.12.41.16:443
111.170.8.210:443
163.171.210.190:443
110.188.68.242:443
域前置Host
网友评论