攻防演练 | 详细分析某红队钓鱼样本
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
该文章介绍了一封带有恶意压缩包的垃圾邮件,压缩包包含一个LNK文件和一个PowerShell脚本。通过分析LNK和PowerShell脚本,发现脚本将创建一个新字符串作为下一个有效负载的URL,并对其进行去混淆处理。最终获取的有效负载是另一个PowerShell脚本,该脚本将执行一些操作。
🎯
关键要点
-
文章介绍了一封带有恶意压缩包的垃圾邮件,压缩包包含.lnk文件和PowerShell脚本。
-
使用LeCMD工具分析.lnk文件,发现其将与参数一起执行PowerShell。
-
PowerShell脚本创建一个新字符串作为下一个有效负载的URL,并对其进行去混淆处理。
-
脚本通过函数nvRClWiAJT反转字符串,并在for循环中每2个字符进行处理。
-
最终获取的有效负载是另一个PowerShell脚本,执行一些操作。
🏷️
标签
➡️
