利用開源工具分析新型PowerPoint惡意文檔

最新新出現了一個新型的惡意MS Office文檔：通過將滑鼠游標懸停在鏈接上來執行PowerShell命令的PowerPoint文檔，此攻擊不涉及VBA宏。在本博客中，我們將展示如何使用免費的開源工具分析這些文檔。像往常一樣，該惡意MS Office文件通過電子郵件發送給受害者。（MD5 DD8CA064682CCCCD133FFE486E0BC77C）

分析

使用emldump.py（一個分析MIME文件的工具），我們可以分析用戶收到的電子郵件：

輸出表示郵件附件位於第5部分。我們選擇第5部分，並執行前100個位元組的HEX / ASCII轉儲，以了解我們處理的文件類型：

以PK開頭的文件很有可能是ZIP文件。所以我們把這個文件和管道轉儲到zipdump.py（一個分析ZIP文件的工具）中：

這是一個ZIP文件。從ZIP文件中的文件名來看，我們可以假定它是一個PowerPoint文件：.pptx或.ppsx。

使用zipdump和選項-E（-E選項提供有關所包含文件類型的額外信息），我們可以通過查看頭文件並計算多少個文件，了解該PowerPoint文件中包含的文件類型相同標題：

所以ZIP文件（.pptx或.ppsx）包含1個JPEG文件（JFIF），11個空文件和36個XML文件。

一開始說，惡意軟體作者可能會濫用PowerPoint的滑鼠懸停功能啟動命令。這可以通過使用ppaction：//協議的URL來啟動PowerShell命令。

要確定本文檔是否濫用此功能，我們可以使用YARA。我們定義了2個簡單的YARA規則來搜索字元串「ppaction」和「powershell」：

rule ppaction {nstrings:n$a = "ppaction" nocasencondition:n$an}</p>n<p stylex="text-align: justify;">rule powershell {nstrings:n$a = "powershell" nocasencondition:n$an}n

我們使用zipdump.py在ZIP文件中的每個文件上應用YARA規則：

如上圖所示，文件19（ppt/slides/slide1.xml，這是演示文稿的第一張幻燈片）包含字元串ppaction字元串，文件21（ppt/ slides/_rels/slide1.xml.rels）包含字元串電源外殼。

我們來看看文件19：

要執行的程序可以使用id rId2找到，但是我們已經懷疑該程序是Powershell，並在文件21中定義。因此，讓我們來看看：

的確，如上圖截圖所示，我們有一個Target =「powershell …命令，具有Id =」rId2「。我們來解釋和解碼這個命令。首先，我們使用Re-search.py來提取具有正則表達式的Target值：

這給了我們一個URL編碼的PowerShell命令（和另一個目標值，一個.xml文件的名稱，這對於這個分析不重要）。使用translate.py和一些Python代碼，我們可以使用模塊urllib來解碼URL：

現在我們可以清楚地識別PowerShell命令：它將下載並執行一個文件。網址尚未完全清楚。它是通過在PowerShell中連接（+）字元串和轉換為字元（[char] 0x2F）的位元組來構建的）。位元組0x2F是正斜杠（/）的ASCII值，所以讓我們用sed替換這個實際字元的位元組。

我們現在可以通過使用sed再次刪除「+」來執行字元串連接：

我們現在可以清楚地看到該文件從哪個URL下載，它被寫入臨時文件夾中.jse擴展名，然後執行。要提取URL，我們可以再次使用Re-search.py：

.jse文件是一個編碼的JavaScript文件。它與VBE（編碼VBScript）相同的編碼，可以使用此工具進行解碼。

結論

通過尋找字元串ppaction（這個字元串可能被模糊化）來檢測潛在的惡意PowerPoint文件，從而濫用此功能相當容易。字元串powershell也是一個很好的候選人搜索，但請注意，PowerShell以外的其他程序可用於執行惡意操作。

原文地址：Malicious PowerPoint Documents Abusing Mouse Over Actions 如若轉載，請註明原文地址： 利用開源工具分析新型PowerPoint惡意文檔 - 嘶吼 RoarTalk - 回歸最本質的信息安全,互聯網安全新媒體,4hou.com 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：