记一次特殊的钓鱼样本分析

这个样本在2022-08-03时红雨滴团队@奇安信威胁情报中心 已经分析过了，算是比较老的样本了，没想到在2023还有人在用。红雨滴团队相关文章：https://mp.weixin.qq.com/s/XP7Dy0A21udrEcDJ9MJJkQhttps://mp.weixin.qq.com/s/v4V-hwhCi1nehvwZarCkbA文章主要内容记录对某次应急事件中获取到的特殊钓鱼样本的分析，该样本通过sapien powershell studio将powershell代码封装成可执行文件来绕过一些查杀和限制；0x01 背景某次应急事件中拿到一个攻击者使用的钓鱼样本，这个样本比较有意思和之前的分析有些不同，第一次分析也算曲折，此文记录下对该样本的分析过程。样本如下：伪装成某某OA的一个升级的程序（发起钓鱼的攻击者，通过伪装成某某OA工作人员）0x02 样本行为分析一般笔者拿到样本之后会先丢到虚拟机里面跑下（这里要注意一些反虚拟机操作），然后看下各方面的特征，如注 ………………………………