DEV Community
·
日志分析 | Sysmon | 蓝队实验室在线
💡
原文英文,约600词,阅读约需3分钟。
📝
内容提要
本文分析了Sysmon日志以调查攻击者活动,发现攻击者通过updater.hta启动powershell.exe,下载恶意文件supply.exe,并利用ftp.exe执行命令。恶意软件依赖Python代码,最终尝试通过端口9898建立反向连接。
🎯
关键要点
- 本文分析Sysmon日志以调查攻击者活动。
- 攻击者通过updater.hta启动powershell.exe,下载恶意文件supply.exe。
- 恶意软件依赖Python代码,最终尝试通过端口9898建立反向连接。
- powershell.exe的父进程ID为2848,与updater.hta相关联。
- 攻击者使用的powershell cmdlet是INvoke-WebRequest,端口为69693。
- 攻击者设置的环境变量为comspec=C:\windows\temp\supply.exe。
- ftp.exe被用作LOL_BIN来执行恶意命令。
- 恶意软件首次执行的命令是ipconfig。
- 恶意软件依赖的动态链接库包括Python27.dll和msvcr90.dll。
- 恶意软件下载的新文件的完整URL为https://github.com/ohpe/juicypotato/releases/download/v0.1/JuicyPotato.exe。
- 攻击者尝试建立反向连接的端口为9898。
➡️
