Как разобрать документ Word со встроенными макросами — Пол Чимино
23 марта 2018 г.
В этом практическом руководстве мы рассмотрим шаги по созданию документа Word с внедренным макросом, извлечению файлов и последующему анализу их на наличие вредоносного содержимого. В дикой природе это распространенный способ распространения вредоносного ПО.
Для начала создадим встроенный макрос, который будет запускаться при открытии документа и загрузке изображения из Интернета.
Создать новый документ Word
Alt + F11, чтобы открыть редактор VBA
Скопируйте и вставьте приведенный ниже код, заменив URL-адрес вашего изображения или файла и локальный путь.
Поддокумент_Открыть()
Dim myURL As String
myURL = «<Полный URL вашего изображения или файла>»Dim WinHttpReq As Object
Set WinHttpReq = CreateObject(«Microsoft.XMLHTTP»)
WinHttpReq.Open «GET», myURL
WinHttpReq.sendЕсли WinHttpReq.
Status = 200, то
Set oStream = CreateObject(«ADODB.Stream»)
oStream.Open
oStream.Type = 1
oStream.Write WinHttpReq.responseBody
oStream.SaveToFile «C:\<Полный путь>\logo.png», 2 ‘ 1 = нет перезаписывать, 2 = перезаписывать
oStream.Close
Конец, еслиEnd Sub
Status = 200, то Сохраните файл как документ с поддержкой макросов (.docm)
Чтобы извлечь отдельные файлы, составляющие документ Office, например файлы xml и bin, просто переименуйте расширение файла в .zip и затем извлеките файлы с помощью вашей любимой утилиты архивации.
Вы должны увидеть что-то похожее на это:
В папке docProps есть несколько интересных файлов, которые содержат ценную информацию при анализе потенциально опасных файлов, особенно файл app.xml . Он содержит такие данные, как общее время редактирования, страницы, слова, символы и т. д. Большой файл с очень небольшим содержанием следует тщательно изучить.
Ищем файл vbaProject.bin, который находится в папке word. Этот файл содержит код vba, который является нашим макросом. Чтобы просмотреть содержимое bin-файла и проанализировать его, нам нужно использовать такой инструмент, как olevba, который является частью oletools.
Я использую REMnux на заблокированной виртуальной машине для анализа файла. Запустив olevba.py -c vbaProject.bin , вы увидите, что olevba легко извлекается и показывает нам встроенный код vba.
Дальнейший анализ bin-файла с использованием olevba.py -a vbaProject.bin показывает, что он правильно идентифицировал подозрительное содержимое.
Обычно код макроса сильно запутан и должен быть дополнительно проанализирован, чтобы определить полный объем кода и то, что он делает.
Надеемся, что это краткое введение в извлечение и анализ встроенных макросов Word с помощью oletools помогло. Если у вас есть какие-либо вопросы или комментарии, пожалуйста, спрашивайте.
Нравится:
Нравится Загрузка…
Опубликовано в: Как сделать Рубрики: дизассемблировать, инструкции, макрос, oletools, olevba, WordПоследние сообщения
- Настройка Wireshark для анализа вредоносных программ
- 2020 Trace Labs OSINT CTF для пропавших без вести
- Security Blue Team представляет обзор OSINT
- Обзор курса OSINT «Введение в людей»
- Как разобрать документ Word со встроенными макросами
О
Я работаю в сфере ИТ более 20 лет, выполняя все функции от системного администратора в морской пехоте до директора по ИТ для малого и среднего бизнеса. У меня есть сертификат GCFE от SANS и CySA+ от CompTia. Моя страсть заключается в том, чтобы всегда узнавать что-то новое, связанное с технологиями, безопасностью, анализом вредоносных программ и реверс-инжинирингом, OSINT и криминалистической экспертизой. Я частый гость на конференциях по информационной безопасности и работаю волонтером в своих местных конфессиях.
Конфиденциальность и файлы cookie: этот сайт использует файлы cookie. Продолжая использовать этот веб-сайт, вы соглашаетесь на их использование.
Чтобы узнать больше, в том числе о том, как управлять файлами cookie, см. здесь: Политика в отношении файлов cookie
с английского на сингальский Значение слова «разобрать»
Разобрать :
разобрать
Поделиться этим
(1) Мы разберем разберем все детали на самосвале, вытащим велосипед в рюкзаке и нести его на вершину. (2) Если вы получаете какие-либо красные флажки, повторно запустите пакет, нажав кнопку «Экспорт», а не кнопку «ОК», которая экспортирует сценарий оболочки, который вы можете
(4) это допустимо для законному пользователю разобрать компьютерную программу для определения его интерфейсов(5) В некоторых случаях, когда исходные стенки ковша сильно изношены, этот дилер Caterpillar может даже разобрать старый ковш и вварить новые стенки ковша из листовой стали. (6) Забастовка началась, когда руководство закрыло одну из трех производственных линий завода и попыталось разобрать оборудование для вывоза. (7) Я знал, что даже если вы разберете машину на миллионы маленьких и крошечных частей и изучите каждую из этих частей, это все равно не решит проблему. (8) Разбирая стойку, трое заметили, что палец стойки замок в сборе напоминал металл, найденный ранее в шине.(9)) Отслеживайте его на протяжении всего срока службы, от производства до разборки и восстановления материалов. (10) Вместо того, чтобы стрелять, он освободил обойму, отодвинул затвор оружия и разобрал d весь пистолет. (11) Она эффективно разобрать d винтовку, критически осмотрев детали, а затем собрать ее обратно.
(12) Тщательная разборка и реконструкция были выполнены с помощью китайских плотников и каменщиков. (13) «Люди не могут поверить, что мы спустились к ледяной шапке. , разобрать d самолет, собрать его по частям, а теперь снова собрать, — сказал Рой. — линейные инструменты под названием Rbmake.(15) Он сказал, что разборка его для транспортировки в аэропорт, а затем перелет через раскинувшуюся страну заняла бы больше времени, чем потребовалось для прибытия британского корабля.(16) Рычаги управления были в автомобиль с 1997 года, и хотя я время от времени смотрел на них, я никогда не Связанные фразы Disassemble
(1) Disassemble ::
Disassemble
Синонимы
Глагол
1. Dimantle ::
බිඳ දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම දැමීම
.