搜索
查看: 1443|回复: 29
收起左侧

[可疑文件] suspicious lnk

[复制链接]
swizzer
发表于 2019-7-22 13:04:18 | 显示全部楼层 |阅读模式


会启动cmd,无后续动作。锁库智量扫描miss,未测主防。
2019\7\22 星期一 12:56:33    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "C:\Users\ADMINI~1.USE\AppData\Local\Temp\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]{受限}系统程序 -> [子应用程序]『禁运』黑名单

2019\7\22 星期一 12:56:34    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "F:\$1area\CV\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]{受限}系统程序 -> [子应用程序]『禁运』黑名单

2019\7\22 星期一 12:56:36    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "trao\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]{受限}系统程序 -> [子应用程序]『禁运』黑名单

2019\7\22 星期一 12:56:37    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c dir "doi\CV trao doi CAT Cao Bang.doc.lnk" /s /b
规则: [应用程序组]{受限}系统程序 -> [子应用程序]『禁运』黑名单




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kfne12
发表于 2019-7-22 13:23:52 | 显示全部楼层
好像是我当年发过的方法。方法貌似差不错。
https://bbs.kafan.cn/thread-2051680-1-1.html
用lnk运行自己当作hta.

swizzer
 楼主| 发表于 2019-7-22 13:26:52 | 显示全部楼层
kfne12 发表于 2019-7-22 13:23
好像是我当年发过的方法。方法貌似差不错。
https://bbs.kafan.cn/thread-2051680-1-1.html
用lnk运行自 ...

的确如此,这种攻击方式也会随着fileless的“普及”而慢慢流行。前一阵子好像就有用lnk运行powershell的APT
kfne12
发表于 2019-7-22 13:30:08 | 显示全部楼层
swizzer 发表于 2019-7-22 13:26
的确如此,这种攻击方式也会随着fileless的“普及”而慢慢流行。前一阵子好像就有用lnk运行powershell的A ...

这个lnk貌似写的有bug?

我这里也无后续动作。mshta没启动起来。

但是我看它的意思。目的好像是想启动自身,作为hta运行。。
swizzer
 楼主| 发表于 2019-7-22 13:33:47 | 显示全部楼层
kfne12 发表于 2019-7-22 13:30
这个lnk貌似写的有bug?

我这里也无后续动作。mshta没启动起来。

我也觉得是。。。但云沙箱给出的结果是恶意,似乎跑起来了。你可以去https://app.any.run/看看
静影沉璧
发表于 2019-7-22 13:39:21 | 显示全部楼层


  1. Infected file detected
  2. one minute ago

  3. Feature:
  4. Antivirus

  5. The file C:\Windows\debug\tmp_zyJOiS.dat is infected with Trojan.Zmutzy.Pante and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kfne12
发表于 2019-7-22 13:40:32 | 显示全部楼层
本帖最后由 kfne12 于 2019-7-22 13:59 编辑
swizzer 发表于 2019-7-22 13:33
我也觉得是。。。但云沙箱给出的结果是恶意,似乎跑起来了。你可以去https://app.any.run/看看

那个网站我没帐号。

我试了下,把这个lnk放到%tmp%目录就可以运行了。
但是仍然启动不了后面的wmi进程。

这个lnk是不是写的太失败了。
swizzer
 楼主| 发表于 2019-7-22 13:40:49 | 显示全部楼层

在你那儿跑起来了?我这启动cmd后毫无反应。。。
swizzer
 楼主| 发表于 2019-7-22 13:42:13 | 显示全部楼层
kfne12 发表于 2019-7-22 13:40
那个网站我没帐号。

我试了下,把这个lnk放到%tmp%目录就可以运行了。

多谢~没来得及仔细研究
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-24 04:31 , Processed in 0.046200 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表