从网页截图中获取的关键信息如下: 漏洞类型:恶意软件感染,具体为通过多个脚本交付的Formbook恶意软件。 攻击手段:攻击者通过一封邮件附带的ZIP文件传播恶意软件,ZIP文件中包含一个VBS脚本。 VBS脚本行为: - 脚本通过9秒的延迟循环等待,避免立即执行恶意行为。 - 生成并执行PowerShell脚本,该脚本高度混淆,通过连接字符串来构建最终的命令。 - 脚本中含有用于解混淆的自定义函数。 - 下载名为 的文件,该文件为Formbook恶意软件的执行体。 - 最终利用 进程将Formbook注入系统。 VBS脚本的SHA256哈希值:d9bd350b04cd2540bbcbf9da1f3321f8c6bba1d8fe31de63d5afaf18a735744f,被17/65的防病毒软件检测为恶意。 Payload 下载链接:hxps://drive[.]google[.]com/uc?export=download&id=1jFn0CatculCIojBsP_Wxcl_faBI9WA9S,下载后的文件保存在特定路径下。 FormBook执行体路径及哈希值:C:\Users\REM\AppData\Local\Temp\bin.exe,SHA256: 12a0f592ba833fb80cc286e28a36dcdef041b7fc086a7988a02d9d55ef4c0a9d。 C2服务器地址:216[.]250[.]252[.]227:7719。 相关链接和引用**: - 关于反向工程恶意软件分析的课程 - 两个VirusTotal链接,分别对应VBS脚本和bin.exe的分析结果。