利用開源工具分析新型PowerPoint惡意文檔

最新新出現了一個新型的惡意MS Office文檔:通過將滑鼠游標懸停在鏈接上來執行PowerShell命令的PowerPoint文檔,此攻擊不涉及VBA宏。在本博客中,我們將展示如何使用免費的開源工具分析這些文檔。像往常一樣,該惡意MS Office文件通過電子郵件發送給受害者。(MD5 DD8CA064682CCCCD133FFE486E0BC77C)

分析

使用emldump.py(一個分析MIME文件的工具),我們可以分析用戶收到的電子郵件:

輸出表示郵件附件位於第5部分。我們選擇第5部分,並執行前100個位元組的HEX / ASCII轉儲,以了解我們處理的文件類型:

以PK開頭的文件很有可能是ZIP文件。所以我們把這個文件和管道轉儲到zipdump.py(一個分析ZIP文件的工具)中:

這是一個ZIP文件。從ZIP文件中的文件名來看,我們可以假定它是一個PowerPoint文件:.pptx或.ppsx。

使用zipdump和選項-E(-E選項提供有關所包含文件類型的額外信息),我們可以通過查看頭文件並計算多少個文件,了解該PowerPoint文件中包含的文件類型相同標題:

所以ZIP文件(.pptx或.ppsx)包含1個JPEG文件(JFIF),11個空文件和36個XML文件。

一開始說,惡意軟體作者可能會濫用PowerPoint的滑鼠懸停功能啟動命令。這可以通過使用ppaction://協議的URL來啟動PowerShell命令。

要確定本文檔是否濫用此功能,我們可以使用YARA。我們定義了2個簡單的YARA規則來搜索字元串「ppaction」和「powershell」:

rule ppaction {nstrings:n$a = "ppaction" nocasencondition:n$an}</p>n<p stylex="text-align: justify;">rule powershell {nstrings:n$a = "powershell" nocasencondition:n$an}n

我們使用zipdump.py在ZIP文件中的每個文件上應用YARA規則:

如上圖所示,文件19(ppt/slides/slide1.xml,這是演示文稿的第一張幻燈片)包含字元串ppaction字元串,文件21(ppt/ slides/_rels/slide1.xml.rels)包含字元串電源外殼。

我們來看看文件19:

要執行的程序可以使用id rId2找到,但是我們已經懷疑該程序是Powershell,並在文件21中定義。因此,讓我們來看看:

的確,如上圖截圖所示,我們有一個Target =「powershell …命令,具有Id =」rId2「。我們來解釋和解碼這個命令。首先,我們使用Re-search.py來提取具有正則表達式的Target值:

這給了我們一個URL編碼的PowerShell命令(和另一個目標值,一個.xml文件的名稱,這對於這個分析不重要)。使用translate.py和一些Python代碼,我們可以使用模塊urllib來解碼URL:

現在我們可以清楚地識別PowerShell命令:它將下載並執行一個文件。網址尚未完全清楚。它是通過在PowerShell中連接(+)字元串和轉換為字元([char] 0x2F)的位元組來構建的)。位元組0x2F是正斜杠(/)的ASCII值,所以讓我們用sed替換這個實際字元的位元組。

我們現在可以通過使用sed再次刪除「+」來執行字元串連接:

我們現在可以清楚地看到該文件從哪個URL下載,它被寫入臨時文件夾中.jse擴展名,然後執行。要提取URL,我們可以再次使用Re-search.py:

.jse文件是一個編碼的JavaScript文件。它與VBE(編碼VBScript)相同的編碼,可以使用此工具進行解碼。

結論

通過尋找字元串ppaction(這個字元串可能被模糊化)來檢測潛在的惡意PowerPoint文件,從而濫用此功能相當容易。字元串powershell也是一個很好的候選人搜索,但請注意,PowerShell以外的其他程序可用於執行惡意操作。

原文地址:Malicious PowerPoint Documents Abusing Mouse Over Actions 如若轉載,請註明原文地址: 利用開源工具分析新型PowerPoint惡意文檔 - 嘶吼 RoarTalk - 回歸最本質的信息安全,互聯網安全新媒體,4hou.com 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

瑞典意外泄漏大量軍事機密及幾乎所有的公民個人信息
實用教程:從網路中獲取NTLM Hash的四種方法
只因更新固件推送出錯 Lockstate智能鎖秒變磚
亞塞拜然黑客竊取了亞美尼亞大量機密數據
某靜態頁面xss挖掘過程

TAG:信息安全 | 技术分析 |