作者:微步情報社區
https://x.threatbook.com/v5/article?threatInfoID=18087
藍隊/紅隊釣魚項目已發現釣魚項目:
https://github.com/fofahub/fofahubkeyword
文檔是用canarytokens做了信標的,可以用來釣藍隊/紅隊的出口ip
對GitHub中使用word文檔進行釣魚項目的分析微步雲沙箱分析
將該項目中的docx投遞至沙箱分析後,發現回連:http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp,其中ayz4tfaqbetnwn1pz1gmqspi3,是該word文檔的唯一token。雲沙箱分析結果地址:https://s.threatbook.com/report/file/0ce467917dedc41a0490acddd4098576ce7a04feefd7b84ba70747149eca76da
樣本分析
下載文件後,在word\ footer2.xml和word_rels\footer2.xml.rels中存在C&C地址:canarytokens.com
復現
canarytokens.com(https://canarytokens.com/)是一個dnslog平台,工作原理是在頁面的圖像標記中嵌入一個唯一的URL,捕獲之後的返回信息。製作釣魚word的方法如下:訪問https://canarytokens.com/generate生成帶有負載的word文件
配置完成後會生成word文檔,和查詢結果的地址。https://canarytokens.com/download?fmt=msword&token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48
訪問https://canarytokens.org/history?token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48 地址可以獲取運行過該文檔的出口IP。
後續建議
1、警惕外部鏈接,不訪問安全性未知的鏈接與內容。
2、安全性不明的文檔,投遞至微步雲沙箱(s.threatbook.com)進行檢測。
3、加強企業人員安全意識教育,警惕新型攻擊。
加個好友
歡迎在看丨留言丨分享至朋友圈三連
好文推薦
2022HW必備|最全應急響應思維導圖
2022HVV交流群
乾貨|紅隊全流程學習資料(附下載地址)
某知名OA高版本getshell思路(附部分腳本)
乾貨|後滲透及內網初體驗的總結
發現內網存活主機的各種姿勢
實戰|某次攻防演練中的分析溯源
實戰|後台getshell+提權一把梭
紅隊快速打點工具
實戰|記一次艱難的外網打點
實戰|記一次文件上傳繞過
常見漏洞安全攻防知識庫
紅隊信息搜集工具(附下載地址)
實戰—某醫院管理系統Getshell
CobaltStrike上線Linux
留言列表