suspicious lnk

swizzer

会启动cmd，无后续动作。锁库智量扫描miss，未测主防。
2019\7\22 星期一 12:56:33    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "C:\Users\ADMINI~1.USE\AppData\Local\Temp\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]｛受限｝系统程序 -> [子应用程序]『禁运』黑名单

2019\7\22 星期一 12:56:34    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "F:\$1area\CV\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]｛受限｝系统程序 -> [子应用程序]『禁运』黑名单

2019\7\22 星期一 12:56:36    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "trao\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]｛受限｝系统程序 -> [子应用程序]『禁运』黑名单

2019\7\22 星期一 12:56:37    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "doi\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]｛受限｝系统程序 -> [子应用程序]『禁运』黑名单

kaba666

卡巴网页拦截

kfne12

好像是我当年发过的方法。方法貌似差不错。
https://bbs.kafan.cn/thread-2051680-1-1.html
用lnk运行自己当作hta.

swizzer

kfne12 发表于 2019-7-22 13:23
好像是我当年发过的方法。方法貌似差不错。
https://bbs.kafan.cn/thread-2051680-1-1.html
用lnk运行自 ...

的确如此，这种攻击方式也会随着fileless的“普及”而慢慢流行。前一阵子好像就有用lnk运行powershell的APT

kfne12

swizzer 发表于 2019-7-22 13:26
的确如此，这种攻击方式也会随着fileless的“普及”而慢慢流行。前一阵子好像就有用lnk运行powershell的A ...

这个lnk貌似写的有bug?

我这里也无后续动作。mshta没启动起来。

但是我看它的意思。目的好像是想启动自身，作为hta运行。。

swizzer

kfne12 发表于 2019-7-22 13:30
这个lnk貌似写的有bug?

我这里也无后续动作。mshta没启动起来。

我也觉得是。。。但云沙箱给出的结果是恶意，似乎跑起来了。你可以去https://app.any.run/看看

静影沉璧

1. Infected file detected
   
2. one minute ago
   
3. 
   
4. Feature:
   
5. Antivirus
   
6. 
   
7. The file C:\Windows\debug\tmp_zyJOiS.dat is infected with Trojan.Zmutzy.Pante and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

复制代码

kfne12

swizzer 发表于 2019-7-22 13:33
我也觉得是。。。但云沙箱给出的结果是恶意，似乎跑起来了。你可以去https://app.any.run/看看

那个网站我没帐号。

我试了下，把这个lnk放到%tmp%目录就可以运行了。
但是仍然启动不了后面的wmi进程。

这个lnk是不是写的太失败了。

swizzer

静影沉璧 发表于 2019-7-22 13:39

在你那儿跑起来了？我这启动cmd后毫无反应。。。

swizzer

kfne12 发表于 2019-7-22 13:40
那个网站我没帐号。

我试了下，把这个lnk放到%tmp%目录就可以运行了。

多谢~没来得及仔细研究