mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update extracting_ioc_from_doc.md
This commit is contained in:
parent
c337c348bd
commit
5d3faee211
@ -14,7 +14,7 @@
|
||||
- Windows Machine
|
||||
- [CMD Watcher](http://www.kahusecurity.com/tools.html)
|
||||
## Flow
|
||||
1. CMD Watcherを起動し,Startを押す
|
||||
1. CMD Watcherを起動し,Startを押下
|
||||
|
||||
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacher.PNG)
|
||||
|
||||
@ -22,12 +22,12 @@
|
||||
|
||||
![](https://github.com/mether049/malware/blob/master/Emotet/img/word.PNG)
|
||||
|
||||
3. CMD Watcherにマクロによって実行されるpowershellコマンドが出力されるため,そこからBase64でエンコードされた文字列をコピーする<br>
|
||||
3. マクロによって実行されるpowershellコマンドがCMD Watcherに出力されるため,そこからBase64でエンコードされた文字列をコピーする<br>
|
||||
(コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ)
|
||||
|
||||
![](https://github.com/mether049/malware/blob/master/Emotet/img/cmdwacther2.PNG)
|
||||
|
||||
4. CyberchefによりBase64でエンコードされた文字列をデコードし,IoC(URL)のみ出力させる
|
||||
4. Cyberchefを利用して,Base64でエンコードされた文字列をデコードし,IoC(URL)のみを出力させる
|
||||
- レシピの内容として必要なのは以下
|
||||
- Base64のデコード
|
||||
- null文字の除去
|
||||
|
Loading…
Reference in New Issue
Block a user