sábado, 1 de abril de 2017

This is my way!!!!!!

Hace tiempo se leyó la siguiente entrada en el blog de Didier Steven:

https://blog.didierstevens.com/2017/03/07/update-oledump-py-version-0-0-27/

Más concretamente, el vídeo referente al nuevo plugin de la herramienta "oledump", que se denomina: plugin_str_sub.

https://youtu.be/tnPWKHiHpBo

En ella se enseña una manera de des-ofuscar el código de las macros de un archivo ofimático para poder comprender el código de las macros.

Esta lectura permitiría encontrar información útil que pueda ser utilizada para alimentar cualquier sistema de inteligencia desplegado.

En este sentido, se va a comentar a continuación una manera de extraer información de archivos ofimáticos utilizados como "downloaders" y cuyas macros se pueden modificar. Todo ello sin necesidad de des-ofuscar el código.

Para ello vamos a analizar el archivo ofimático con md5:
F0B58E18DFF22D0A6D1B91076A1B463B

Md5 del archivo a analizar

Al ser un downloader, lo que buscamos es la URL desde donde se intentará descargar, el archivo analizado, el archivo verdaderamente malicioso. Para ello, lo primero que se hará es abrir el archivo, mejor en un entorno controlado, sin permitir la ejecución de macros.

Apertura del documento sin ejecutar las macros que trae el archivo

Tras esto, se procederá a modificar las macros que tengan el archivo analizado, que pueden venir codificadas

Observamos las macros que trae el archivo

Accedemos al código de la macro

En este punto, comentar que el lo que siempre hay que buscar es la cadena: "RUN", ya que esta cadena pertenecerá a la instrucción que permite lanzar un comando dentro del sistema operativo Windows.

Búsqueda de la cadena: "run".

Instrucción que permite lanzar un comando a nivel del sistema operativo Windows.

La línea encontrada consistirá en:

<variable definida como un objeto "wscript.shell" >.run <comando a ejecutar>,<apariencia de la ventana de windows>,<valor que indica si es necesario esperar a que el comando termine>

Más información:
https://msdn.microsoft.com/en-us/library/d5fk67ky%28v=vs.84%29.aspx

Esa línea debemos comentarla con el comando "msgbox", para ver el contenido de la variable que contiene el comando, de la siguiente manera:

Comentamos la instrucción

Tras dicha modificación, debemos guardar los cambios y volver a ejecutar el archivo, pero está vez, permitiremos la ejecución de las macros.

Tras el cambio , lanzamos la ejecución del documento permitiendo la ejecución de macros.

El resultado final será:

Mensaje devuelto mostrando el contenido que se va a ejecutar.



Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.
Publicado por en

2 comentarios:

  1. Unknown4 de abril de 2017, 3:25

    Mejor un InputBox, para que te deje hacer Copy-Paste ;-)

    InputBox "Copiar lo de debajo", "Texto", variableofuscada

    ResponderEliminar
  2. 4null05 de abril de 2017, 2:29

    ¡Llevas toda la razón!

    Gracias por la apreciación

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)