md5: d65c1c15a30c58043c3c0246f2e39510

Не могу достать пейлоад.

Подтупливаю.

Попробовал достать с помощью ole-tools'в - не алё.

В сети внятного объяснения, как получить из rtf-файла ole-объект не нашел.

Так понимаю, если смотреть руками, то объект:

Не нашел в спецификации как понять par"цифра".

После par"цифра" стоит число в hex'е. В виду чего предполагаю, что всего лишь на всего нужно эти hex-значения расставить в правильном порядке.

Только не могу понять в каком.

Если принять, что par"цифра" это порядковый номер hex=значения, то не клеится потому что в \objdata может быть несколько par с одинаковыми "цифрами".

Может быть вообще не в ту сторону смотрю?

Прошу прошения, если получилось не понятно.

В принципе верно всё вышеуказанное верно.

Словил такой файл.

Сейчас я хотел бы достать из этого .rtf, то, что туда передали полезной нагрузкой.

Так понимаю там будет либо, бинарный файл, либо команда для запуска cmd/powershell/mshta, скачивания файла и его запуска.

Зачастую бОльшая часть малварей стучит наружу. Поэтому конечная цель: 1) Получить домен; 2) Полностью понять механизм проведения атаки; 3) Узнать что-то новое по итогу (В данном случае имею в в виду как достать из RTF-файла объект).

поделись файликом. Попробую разгадаться

С первым и вторым разобрался. По итогу через cmd скачивается с домена msi-пакет). rtfobj работает на ура конечно (Раньше не пользовался, видимо по этому тормозил).

Интерес по декодированию /object остался. Может кто статейку, описание или документашку годную подкинет кто.