diff --git a/Emotet/extracting_ioc_from_doc.md b/Emotet/extracting_ioc_from_doc.md index 0ffb3d1..4632793 100644 --- a/Emotet/extracting_ioc_from_doc.md +++ b/Emotet/extracting_ioc_from_doc.md @@ -14,7 +14,7 @@ - Windows Machine - [CMD Watcher](http://www.kahusecurity.com/tools.html) ## Flow -1. CMD Watcherを起動し,Startを押す +1. CMD Watcherを起動し,Startを押下 ![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacher.PNG) @@ -22,12 +22,12 @@ ![](https://github.com/mether049/malware/blob/master/Emotet/img/word.PNG) -3. CMD Watcherにマクロによって実行されるpowershellコマンドが出力されるため,そこからBase64でエンコードされた文字列をコピーする
+3. マクロによって実行されるpowershellコマンドがCMD Watcherに出力されるため,そこからBase64でエンコードされた文字列をコピーする
(コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ) ![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacther2.PNG) -4. CyberchefによりBase64でエンコードされた文字列をデコードし,IoC(URL)のみ出力させる +4. Cyberchefを利用して,Base64でエンコードされた文字列をデコードし,IoC(URL)のみを出力させる - レシピの内容として必要なのは以下 - Base64のデコード - null文字の除去