md5: d65c1c15a30c58043c3c0246f2e39510 Не могу достать пейлоад. Подтупливаю. Попробовал достать с помощью ole-tools'в - не алё. В сети внятного объяснения, как получить из rtf-файла ole-объект не нашел. Так понимаю, если смотреть руками, то объект: Не нашел в спецификации как понять par"цифра". После par"цифра" стоит число в hex'е. В виду чего предполагаю, что всего лишь на всего нужно эти hex-значения расставить в правильном порядке. Только не могу понять в каком. Если принять, что par"цифра" это порядковый номер hex=значения, то не клеится потому что в \objdata может быть несколько par с одинаковыми "цифрами". Может быть вообще не в ту сторону смотрю? Прошу прошения, если получилось не понятно.
В принципе верно всё вышеуказанное верно. Словил такой файл. Сейчас я хотел бы достать из этого .rtf, то, что туда передали полезной нагрузкой. Так понимаю там будет либо, бинарный файл, либо команда для запуска cmd/powershell/mshta, скачивания файла и его запуска. Зачастую бОльшая часть малварей стучит наружу. Поэтому конечная цель: 1) Получить домен; 2) Полностью понять механизм проведения атаки; 3) Узнать что-то новое по итогу (В данном случае имею в в виду как достать из RTF-файла объект).
С первым и вторым разобрался. По итогу через cmd скачивается с домена msi-пакет). rtfobj работает на ура конечно (Раньше не пользовался, видимо по этому тормозил). Интерес по декодированию /object остался. Может кто статейку, описание или документашку годную подкинет кто.