对Fofahubkey钓鱼文件的简单分析

admin 2022年7月27日23:55:21评论81 views字数 2835阅读9分27秒阅读模式

写在前面

    Hvv期间有很多红蓝互钓的钓鱼文件,这里对github上Fofahubkey这个word文件做简单的分析。因为已经出来一段时间,有很多大佬展开过分析,这里是站在大佬们的上帝视角分析。

对Fofahubkey钓鱼文件的简单分析





Github上的Fufahub钓鱼项目

对Fofahubkey钓鱼文件的简单分析


采用技术在Office Word文档的页脚中插入OLE2Link对象以躲避杀软的检测,由于常见的基于OLE2Link的漏洞利用(比如CVE-2017-0199)都是在worddocument.xml中插入远程的OLE对象,所以这导致大部分杀软并未检测到document.xml以外的组件中包含的威胁。

样本在页脚中插入OLE2Link对象的分析如下:

1.页脚文件wordfooter2.xml中包含了一个Link对象,设置id:

2.word_relsfooter2.xml.rels中设置具体链接的具体内容



此文件免杀效果

引擎

检出

引擎

检出

微软(MSE)

无检出

ESET

无检出

卡巴斯基(Kaspersky)

无检出

小红伞(Avira)

无检出

IKARUS

无检出

大蜘蛛(Dr.Web)

无检出

Avast

无检出

AVG

无检出

GDATA

无检出

K7

无检出

安天(Antiy)

无检出

江民(JiangMin)

无检出

360(Qihoo 360)

无检出

Baidu

无检出

NANO

无检出

Trustlook

无检出

瑞星(Rising)

无检出

熊猫(Panda)

无检出

Sophos

无检出

ClamAV

无检出

WebShell专杀

无检出

Baidu-China

无检出


搜索到了新知识,docx文档可以解压

对Fofahubkey钓鱼文件的简单分析

翻文档发现/word/footer2.xml主动访问恶意链接http://canarytokens.com/terms/articles/xxxx/post.jsp

<?xml version="1.0" encoding="UTF-8" standalone="true"?>
-<w:ftr mc:Ignorable="w14 w15 wp14" xmlns:wps="http://schemas.microsoft.com/office/word/2010/wordprocessingShape" xmlns:wne="http://schemas.microsoft.com/office/word/2006/wordml" xmlns:wpi="http://schemas.microsoft.com/office/word/2010/wordprocessingInk" xmlns:wpg="http://schemas.microsoft.com/office/word/2010/wordprocessingGroup" xmlns:w15="http://schemas.microsoft.com/office/word/2012/wordml" xmlns:w14="http://schemas.microsoft.com/office/word/2010/wordml" xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main" xmlns:w10="urn:schemas-microsoft-com:office:word" xmlns:wp="http://schemas.openxmlformats.org/drawingml/2006/wordprocessingDrawing" xmlns:wp14="http://schemas.microsoft.com/office/word/2010/wordprocessingDrawing" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:m="http://schemas.openxmlformats.org/officeDocument/2006/math" xmlns:r="http://schemas.openxmlformats.org/officeDocument/2006/relationships" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:mc="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:wpc="http://schemas.microsoft.com/office/word/2010/wordprocessingCanvas"> -<w:r> <w:instrText xml:space="preserve"> INCLUDEPICTURE "http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp" d * MERGEFORMAT </w:instrText> +<v:shapetype id="_x0000_t75" stroked="f" filled="f" path="m@4@5l@4@11@9@11@9@5xe" o:preferrelative="t" o:spt="75" coordsize="21600,21600">



同时在/word/_rels/footer2.xml.rels 发现恶意访问http://canarytokens.com/terms/articles/xxxx/post.jsp

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships"><Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp" TargetMode="External"/></Relationships>


canarytokens.com做信标,作用与dnslog相同,相当于一个长久有效的dnslog。可以获取点击者的出口ip,也就是用于获取红队/蓝队的出口ip。





写在最后

    本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。

原文始发于微信公众号(云下信安):对Fofahubkey钓鱼文件的简单分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月27日23:55:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对Fofahubkey钓鱼文件的简单分析http://cn-sec.com/archives/1205577.html

发表评论

匿名网友 填写信息