1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update extracting_ioc_from_doc.md

This commit is contained in:
MxExTxH 2020-01-04 01:10:06 +09:00 committed by GitHub
parent c337c348bd
commit 5d3faee211
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -14,7 +14,7 @@
- Windows Machine - Windows Machine
- [CMD Watcher](http://www.kahusecurity.com/tools.html) - [CMD Watcher](http://www.kahusecurity.com/tools.html)
## Flow ## Flow
1. CMD Watcherを起動しStartを押 1. CMD Watcherを起動しStartを押
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacher.PNG) ![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacher.PNG)
@ -22,12 +22,12 @@
![](https://github.com/mether049/malware/blob/master/Emotet/img/word.PNG) ![](https://github.com/mether049/malware/blob/master/Emotet/img/word.PNG)
3. CMD Watcherにマクロによって実行されるpowershellコマンドが出力されるためそこからBase64でエンコードされた文字列をコピーする<br> 3. マクロによって実行されるpowershellコマンドがCMD Watcherに出力されるためそこからBase64でエンコードされた文字列をコピーする<br>
(コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ) (コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ)
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacther2.PNG) ![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacther2.PNG)
4. CyberchefによりBase64でエンコードされた文字列をデコードしIoC(URL)のみ出力させる 4. Cyberchefを利用して,Base64でエンコードされた文字列をデコードしIoC(URL)のみ出力させる
- レシピの内容として必要なのは以下 - レシピの内容として必要なのは以下
- Base64のデコード - Base64のデコード
- null文字の除去 - null文字の除去