最新【0DAY 】通杀级漏洞速报

admin 2023年12月10日03:10:40评论37 views字数 1838阅读6分7秒阅读模式

某单位的威胁研究团队一直在跟踪发送垃圾电子邮件传播的恶意软件Hancitor。然而,这款软件已在多年的发展中得到了“进化”。Hancitor也被称为Chanitor或Tordal,是一个基于宏的恶意软件。一种方式会通过发送附件含Microsoft Office的邮件进行传播;另一种方式Hancitor也被设计为充当其他恶意软件的下载器,最终通过其他恶意软件感染Windows计算机。本次追踪的事件中,由于公司主机已经中招了恶意软件Hancitor,Hancitor会利用另一个 Windows 可执行文件发送垃圾邮件。据研究人员分析,该可执行文件是基于 Send-Safe 的垃圾邮件恶意软件。Send-Safe一个批量电子邮件程序,允许您从自己的计算机或远程计算机发送电子邮件,无论是否使用代理。该程序已被各种威胁行为者用作恶意软件,将受感染的 Windows 计算机变成垃圾邮件主机。目前,研究人员已经提取了此次事件的pcap流量包,请协助研究人员解答以下问题。

1.受感染Windows主机的IP地址是多少?

答:10.2.10.101

最新【0DAY 】通杀级漏洞速报

通过流量分析,发现大部分的数据都被加密了,只有这还可以追踪tcp流。

最新【0DAY 】通杀级漏洞速报

右击追踪tcp流。可以看到info的相关信息

最新【0DAY 】通杀级漏洞速报

2.受感染Windows主机的主机名是什么?

答:DESKTOP-TRH50EJ

3.受感染Windows主机上的用户帐户名是什么?

答:dave.thomas

4.Hancitor在此事件中下载的恶意软件的域名是什么?

答:backupez.com

最新【0DAY 】通杀级漏洞速报

向backupez.com发送一个get请求,去下载一个47.exe的文件

最新【0DAY 】通杀级漏洞速报

5.Hancitor在此事件中下载的恶意软件的域名包含的软件名字是什么?

答:47.exe

6.该恶意软件的sha1哈希值是多少?

答:EEC4F17A35AC5D1B4EC5848E6F7AA4AE42545CA8

最新【0DAY 】通杀级漏洞速报

7.请问该pcap包受Send-Safe感染发送的垃圾邮件总共多少封?

答:167

在前面知道下载47.exe是通过发送get请求backupez.com下载47.exe,接着流量就指向了ip是31.44.184.47端口50025的流量。

最新【0DAY 】通杀级漏洞速报

搜下tcp.port 50025的端口,发现了一条带有证书的流量。

最新【0DAY 】通杀级漏洞速报

进入观察,发现该证书的type id 11。结合之前指向的ip:31.44.184.47,精准搜索。

最新【0DAY 】通杀级漏洞速报

最新【0DAY 】通杀级漏洞速报

最新【0DAY 】通杀级漏洞速报

查看流量分析,引起 TCP 端口 50025 上的 HTTPS 流量,使用的是以Send-Safe作为组织名称和commonName 的证书颁发者数据。最新【0DAY 】通杀级漏洞速报

接着查看发送安全 SMTP 流量和 HTTPS 流量,这里可以看到给大量邮箱发送数据。

最新【0DAY 】通杀级漏洞速报

最新【0DAY 】通杀级漏洞速报

由于此 pcap 中的 SMTP 流量未加密,因此您可以使用 Wireshark 提取电子邮件。菜单路径为File --> Export Objects --> IMF,save all。可以看到导出本地有167封邮件。

最新【0DAY 】通杀级漏洞速报

8.根据导出来的邮件,请问在这些邮件中,KeyCorp Platform Notice(17).eml这封邮件中,Get authentication document跳转的地址链接是什么?

答:https://docs.google.com/document/d/e/2PACX-1vSdtRZV6zVmSOZQjRwCpTdiUB5choS6e0MK5fZ-pCOlsyg_3IQSVr5G9oMXmhmCgflZV4BIsdAanrqG/pub

本地用foxmail打开,右击Get authentication document复制链接即可

最新【0DAY 】通杀级漏洞速报

//                            _ooOoo_  //                           o8888888o  //                           88" . "88  //                           (| -_- |)  //                            O = /O  //                        ____/`---'____  //                      .   ' \| |// `.  //                       / \||| : |||//   //                     / _||||| -:- |||||-   //                       | | \ - /// | |  //                     | _| ''---/'' | |  //                       .-__ `-` ___/-. /  //                   ___`. .' /--.-- `. . __  //                ."" '< `.____<|>_/___.' >'"".  //               | | : `- `.;` _ /`;.`/ - ` : | |  //                   `-. _ __ /__ _/ .-` / /  //         ======`-.____`-.________/___.-`____.-'======  //                            `=---='  //  //         .............................................  //                  佛祖保佑             年底了各位大佬结结款


原文始发于微信公众号(零漏安全):最新【0DAY 】通杀级漏洞速报

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月10日03:10:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   最新【0DAY 】通杀级漏洞速报https://cn-sec.com/archives/2281158.html

发表评论

匿名网友 填写信息