通过受感染的文档(尤其是包含恶意宏的 Microsoft Word 文件)传播恶意软件是一种常见威胁。本文探讨了逆转 Windows Word 文档中发现的恶意软件的过程,重点介绍了攻击者使用的技术以及缓解此类威胁的方法。
该样本已从Malware Bazaar下载(密码:infected)。
https://bazaar.abuse.ch/sample/ab518a86b77fe842821b50d182b9394d2a59d1c64183a37eb70a6cac100b39f8/?ref=denwp.com
| 算法 | 哈希 |
|---|---|
| SHA256 哈希: | ab518a86b77fe842821b50d182b9394d2a59d1c64183a37eb70a6cac100b39f8 |
| SHA3-384 哈希: | 39e2053c564f5ebeff0f7c8958b5ffc7d6e8782c81d1e848a5560f799f37f048e049527938485c3f4674e4c4cf2a1055 |
| SHA1 哈希: | bd2447a6cfb1812ee7f190c9d92beabcc6976dcb |
| MD5 哈希: | 97806d455842e36b67fdd2a763f97281 |
介绍
正在调查的恶意软件以恶意宏的形式嵌入到 Windows Word 文档中。宏通常用于自动执行 Word 中的任务,但也可用于执行有害代码。该恶意软件使用“AutoOpen”功能,该功能会在打开文档时自动触发宏。
分析
使用olevba,我们提取有关恶意软件意图的信息:
AutoOpen:打开文档时执行宏。
使用各种 Windows 库进行写入、运行和 base64 编码等操作。
包含硬编码的 HTTP URL。
olevba.exe -a \.malicious_macro.docm确定了包含 base64 字符串的属性后,我们继续提取它。
.\exiftool.exe -Description -b -txt .\malicous_macro.docm >description.txt在识别文件元数据后,我们使用从文档中提取宏olevba。此步骤对于了解恶意软件的操作至关重要。
olevba.exe -c .\malicous_macro.docm > mal_macro.vba分析提取出的宏代码,我们发现两个主要函数:
AutoOpen:从 comments 属性读取 base64 字符串,对其进行解码,然后执行命令。
ExecuteForWindows:将解码后的 base64 字符串写入临时目录并尝试使用“wscript”执行它。
自动打开:
执行Windows:
为了安全地提取丢弃的二进制文件,包含的执行行wscript被注释掉,以便更仔细地检查临时目录中的二进制文件。
执行修改后的宏代码后,我们在用户的临时目录中找到了投放的二进制文件。
通过使用 PEStudio,我们确认二进制文件的调试属性中存在引用字符串C:\local0\asf\release\build-2.2.14\support\Release\ab.pdb。从 OSINT 中,我们发现了与使用 Metasploit 创建的 Shellcode 相关的引用。
结论
Windows Word 文档中嵌入的恶意软件是一个恶意宏,它利用该AutoOpen函数在文档打开时自动执行。它从comments属性中提取 base64 字符串,对其进行解码,并执行其中包含的命令。然后,恶意软件使用该ExecuteForWindows函数将解码后的二进制文件写入当前用户的临时目录。它尝试使用执行此二进制文件wscript。通过注释掉执行行并运行代码,我们可以安全地提取被释放的二进制文件。对该二进制文件的分析揭示了一个调试属性,该属性引用了与使用 Metasploit 创建的 Shellcode 关联的文件路径,表明恶意软件打算在受感染的系统上执行 shellcode。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
