IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

工具篇:如何分析恶意文档

发布时间:2017-01-09 21:27文章来源:互联网文章作者: 佚名点击次数:
本文讲述的是工具篇:如何分析恶意文档,旨在服务社会,供安全研究人员学习使用,请勿用于其他非法用途,违者后果自负。 0x01 疑似异常工作的恶意文档 几周前,katja Hahn在推特上公布了一个恶意样本:链接。 文件在这里公布出来了(SHA256 41a84ee951ec7efa3

本文讲述的是工具篇:如何分析恶意文档,旨在服务社会,供安全研究人员学习使用,请勿用于其他非法用途,违者后果自负。

0x01 疑似异常工作的恶意文档

几周前,katja Hahn在推特上公布了一个恶意样本:链接。

文件在这里公布出来了(SHA256 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0a b5236197eb3b32a)。

在十六进制编辑器中打开,明显包含了VBA宏病毒指令:

图片7.png

但是像oledump或是olevba却不能够检测到VBA宏病毒。甚至MS word都不能显示或者运行这些宏病毒。

$ olevba 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0ab5236197eb3b32a.bin olevba 0.42 - http://decalage.info/python/oletools [...] FILE: 41a84ee951ec7efa36dc16c70aaaf6b8e6d1bce8bd9002d0ab5236197eb3b32a.bin Type: OLE No VBA macros found.

在文章"Malfunctioning Malware"中,作者通过一些底层的技术重建并提取文档中宏的源码。

现在我们想知道这是一种躲避检测的方法或者是另一种漏洞?

0x02 oledir

首先使用oledir查看文档内部的OLE目录,oledir是我的oletoos工具包中比较新的工具。

图片8.png

OLE的目录就是一种包含名称和存储了文件数据流位置的一种数据结构(详见[MS-CFB])。每个目录可能会被使用,或者完全是空的。

在本例中,我们可以看到有好几个空的目录入口(id从6到12),其后是一个非空目录(id13)。由于这些目录入口会被连续的创建,这就暗示了,这些空的入口可能是在使用完后释放了的。

这同样也证实了不存在VBA宏,因为在文件中没有存储名为”VBA”的结构(详见[MS-OVBA])。

0x03 olemap

接着,我们使用另一个新工具olemap看一下OLE的FAT(文件分配表):

图片9.png

[…]

图片10.png

从上图可知,在使用过的节区后存在大量标记为free的节区。这也从另一个侧面显示一些流可能被删除了。

这也证实了在Hex Editor中文件偏移地址为0XE440处出现的VBA宏位于一个未使用的节区(number 71,offset 0XE400)。

很有可能这个文档中原来包含的VBA宏病毒已经被删除了。一个恶意软件的作者发送一个去除宏病毒的文档,这就很奇怪了,因为这些宏不可能会被执行。

我认为这个文档实际上应该是被杀软或者一些查杀工具清理了一番。例如,F-Prot和McAfee杀毒引擎就可以移除宏病毒。其他例如ExeFilter也可以做到。

为了证实这个,我们要找到清理之前的原始恶意样本。这个也不简单,因为原始文件早已被更改了:原始文件有不同的hash,而且原始文件名也不知道。

工具篇:如何分析恶意文档
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/gongju/676708.html

标签分类:

上一篇:上一篇:分享一些支持企业安全工作的免费工具
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量