Tiếp tục phân tích chúng tôi nhận thấy tệp logo.doc ping đến máy chủ 10.2.78.69, vì đây là PrivateIP nên dù đã kích hoạt vẫn không thể bị lây nhiễm máy ảo tự tạo. Do vậy, các phase sau chúng tôi sẽ tham khảo cách làm của các đội đã connect VPS thành công.
Do không thể kết nối được VPS nên chúng tôi đã download tệp về lấy mẫu và phân tích.
- Giải nén file mẫu. Mở 2 tệp .doc.
- Phát hiện liên kết đến máy chủ http://118.70.80.143 và tự động download tệp getransomware.hta và 3 tệp còn lại. Lợi dụng lỗ hỏng bảo mật Microsoft CVE-2017-0199: Microsoft...
