miércoles, 22 de julio de 2015

Análisis del "Format A4.docm"

Se procede a investigar el siguiente archivo:

File Name: Format A4.docm
MD5 Hash Identifier: 5CEF683FEAD4CD7CD3DAC8EF8BB5D4F1
MD5 del archivo a investigar

Este archivo se ha recibido por correo electrónico, desde la dirección: gwenaelle.despres@vediscom.fr


Correo electrónico recibido

Se comprueba el tipo de archivo, determinando que nos encontramos ante un documento Microsoft Word.

Tipo de archivo

Se determina la existencia de macros dentro del documento


Macros detectadas dentro del documento investigado

Se investiga la macro A7, ya que dicha macro inicializará todo el código desarrollado en el documento investigado.

Se determina la existencia del procedimiento "KM_CheckForReady" que será llamado directamente al abrir el documento y que nos llevará al procedimiento "KM_KMotion_Lock"

Código inicial de las macros
El procedimiento "KM_KMotion_Lock" lo encontraremos en la macro A3

Procedimiento "KM_KMotion_Lock"


Se transforma las funciones "Chr()" en sus correspondientes códigos ASCII, para la variable "KhChnjwOhmoq8" que es la que sufre cambios mediante la función "Replace", y por lo tanto es la que se intenta ocultar de las posibles detecciones automáticas.

Se obtiene la URL: http://scootpassion.com/js/write.exe

Contenido de la variable "KhChnjwOhmoq8"

NOTA: La ocultación de la URL emplea múltiples caracteres especiales. Pero la forma de eliminar esos caracteres especiales para poder lanzar la petición una vez que el documento se ejecuta demuestra una optimización de código.

El código ASCII para el valor 59 es: ";", para el valor 60 es: "<", y para el valor 61 es: "="

 Código que reemplaza los caracteres especiales

Se lanza la petición de descarga del ejecutable, pero se obtiene un "403" (Forbidden).

Respuesta obtenida al intentar establecer comunicación contra la URL detectada

Conclusiones

Los análisis realizados a documentos que contienen macros son la mayor parte de la veces iguales, lo único que varía son los métodos de ocultación.

El investigado en este documento implica el uso de algunos caracteres especiales más de lo que suele ser normal. De hecho, se nota que se ha procedido a la optimización en este sentido del código.

Añadir que, el documento descargado se almacena en la carpeta "TEMP" con el nombre: indigakm.exe, y que posteriormente será ejecutado


Archivo que se genera en la carpeta TEMP
at

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)