Hace tiempo se leyó la siguiente entrada en el blog
de Didier Steven:
https://blog.didierstevens.com/2017/03/07/update-oledump-py-version-0-0-27/
Más concretamente, el vídeo referente al nuevo
plugin de la herramienta "oledump", que se denomina: plugin_str_sub.
https://youtu.be/tnPWKHiHpBo
En ella se enseña una manera de des-ofuscar el
código de las macros de un archivo ofimático para poder comprender el código de
las macros.
Esta lectura permitiría encontrar información útil
que pueda ser utilizada para alimentar cualquier sistema de inteligencia
desplegado.
En este sentido, se va a comentar a continuación
una manera de extraer información de archivos ofimáticos utilizados como
"downloaders" y cuyas macros se pueden modificar. Todo ello sin necesidad
de des-ofuscar el código.
Para ello vamos a analizar el archivo ofimático con
md5:
F0B58E18DFF22D0A6D1B91076A1B463B
Md5 del archivo a analizar
Al ser un downloader, lo que buscamos es la URL
desde donde se intentará descargar, el archivo analizado, el archivo
verdaderamente malicioso. Para ello, lo primero que se hará es abrir el
archivo, mejor en un entorno controlado,
sin permitir la ejecución de macros.
Apertura del documento sin
ejecutar las macros que trae el archivo
Tras esto, se procederá a modificar las macros que
tengan el archivo analizado, que pueden venir codificadas
Observamos las macros que
trae el archivo
Accedemos al código de la
macro
En este punto, comentar que el lo que siempre hay
que buscar es la cadena: "RUN", ya que esta cadena pertenecerá a la
instrucción que permite lanzar un comando dentro del sistema operativo Windows.
Búsqueda de la cadena:
"run".
Instrucción que permite
lanzar un comando a nivel del sistema operativo Windows.
La línea encontrada consistirá en:
<variable
definida como un objeto "wscript.shell" >.run <comando a ejecutar>,<apariencia
de la ventana de windows>,<valor que indica si es necesario esperar a que
el comando termine>
Más información:
https://msdn.microsoft.com/en-us/library/d5fk67ky%28v=vs.84%29.aspx
Esa línea debemos comentarla con el comando
"msgbox", para ver el contenido de la variable que contiene el
comando, de la siguiente manera:
Comentamos la instrucción
Tras dicha modificación, debemos guardar los
cambios y volver a ejecutar el archivo, pero está vez, permitiremos la
ejecución de las macros.
Tras el cambio , lanzamos la ejecución del documento
permitiendo la ejecución de macros.
El resultado final será:
Mensaje devuelto mostrando el contenido que se va a
ejecutar.
Lo que hagas con la información es cosa tuya, no
mía ... pero ten conciencia.
Mejor un InputBox, para que te deje hacer Copy-Paste ;-)
ResponderEliminarInputBox "Copiar lo de debajo", "Texto", variableofuscada
¡Llevas toda la razón!
ResponderEliminarGracias por la apreciación