mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update extracting_ioc_from_doc.md
This commit is contained in:
parent
c337c348bd
commit
5d3faee211
@ -14,7 +14,7 @@
|
|||||||
- Windows Machine
|
- Windows Machine
|
||||||
- [CMD Watcher](http://www.kahusecurity.com/tools.html)
|
- [CMD Watcher](http://www.kahusecurity.com/tools.html)
|
||||||
## Flow
|
## Flow
|
||||||
1. CMD Watcherを起動し,Startを押す
|
1. CMD Watcherを起動し,Startを押下
|
||||||
|
|
||||||
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacher.PNG)
|
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacher.PNG)
|
||||||
|
|
||||||
@ -22,12 +22,12 @@
|
|||||||
|
|
||||||
![](https://github.com/mether049/malware/blob/master/Emotet/img/word.PNG)
|
![](https://github.com/mether049/malware/blob/master/Emotet/img/word.PNG)
|
||||||
|
|
||||||
3. CMD Watcherにマクロによって実行されるpowershellコマンドが出力されるため,そこからBase64でエンコードされた文字列をコピーする<br>
|
3. マクロによって実行されるpowershellコマンドがCMD Watcherに出力されるため,そこからBase64でエンコードされた文字列をコピーする<br>
|
||||||
(コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ)
|
(コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ)
|
||||||
|
|
||||||
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacther2.PNG)
|
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacther2.PNG)
|
||||||
|
|
||||||
4. CyberchefによりBase64でエンコードされた文字列をデコードし,IoC(URL)のみ出力させる
|
4. Cyberchefを利用して,Base64でエンコードされた文字列をデコードし,IoC(URL)のみを出力させる
|
||||||
- レシピの内容として必要なのは以下
|
- レシピの内容として必要なのは以下
|
||||||
- Base64のデコード
|
- Base64のデコード
|
||||||
- null文字の除去
|
- null文字の除去
|
||||||
|
Loading…
Reference in New Issue
Block a user