Wiki LLV

Outils pour utilisateurs

Outils du site

Piste :
wiki:securite:menaces:fichiers_ms_office

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
wiki:securite:menaces:fichiers_ms_office [2025/04/03 12:33] palaswiki:securite:menaces:fichiers_ms_office [2025/04/03 21:19] (Version actuelle) – [Malware utilisant une vulnérabilité] palas
Ligne 5: Ligne 5:
   * par ingénierie sociale et les fonctionnalités internes de Micro$oft Office (macros surtout).   * par ingénierie sociale et les fonctionnalités internes de Micro$oft Office (macros surtout).
   * par les vulnérabilités internes de Micro$oft Office.   * par les vulnérabilités internes de Micro$oft Office.
 +
 +==== Analyse d'un fichier M$ Office ====
  
 OfficeMalScanner v0.5 is a Ms Office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams. --- http://reconstructer.org/code.html (Win) \\  OfficeMalScanner v0.5 is a Ms Office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams. --- http://reconstructer.org/code.html (Win) \\ 
 Il permet d'identifier les fichiers contenant un ShellCode et d'extraire les scripts VBA. Il permet d'identifier les fichiers contenant un ShellCode et d'extraire les scripts VBA.
 +
 +  * ''OfficeMalScanner.exe FICHIER.doc info'' --- extrait les macros dans le dossier X:\FICHIER.doc-Macros.
  
 **''oledump.py''** (libre) fait la même chose. --- https://blog.didierstevens.com/programs/oledump-py/ **''oledump.py''** (libre) fait la même chose. --- https://blog.didierstevens.com/programs/oledump-py/
  
  
 +==== Malware utilisant une macro ====
 +
 +  * ''python oledump.py FICHIER.doc'' --- Montre le nombre & titres des objets contenus dans FICHIER.doc.
 +  * ''python oledump.py -v -s 8 FICHIER.doc''  --- Montre le code VBA de l'objet 8 contenu dans FICHIER.doc.
 +
 +Si le code est obfusqué, utiliser **''deobfuscate_chr.py''** --- https://github.com/xme/toolbox/blob/master/deobfuscate_chr.py
 +
 +  * ''python oledump.py -v -s 8 FICHIER.doc | deobfuscate_chr.py''
 +
 +
 +==== Malware utilisant une vulnérabilité ====
 +
 +Les exploits utilisent des ''shellcodes'', ce sont des ensembles d'instructions en assembleur. Certains utilise l'instruction ''NOP'' (0x90) au début du shellcode. Ici, nous utilisons le CVE-2012-0158.
 +
 +  * ''strings -a FICHIER.rtf''
 +  * On peut visualiser ce shellcode avec IDA Pro ou Radare2 (désassembleurs).
 +  * Il y a une ligne avec ''xor byte [ebx], Ox3f''
 +  * La clef XOR est 0x3F.
 +  * ''cat FICHIER.rtf | xor8.py 0x3f'' --- fait apparaître un binaire, qui est copié sur disque et exécuté par le malware.
 +
 +
 +==== ... ====
 +
 +
 +==== Ressources sur les malwares ====
  
 +  * VirusTotal --- teste les binaires sur 43 antivirus du marché. Les fichiers qui lui sont envoyés peuvent être partagés avec les éditeurs d'antivirus ou des partenaires. --- https://www.virustotal.com/fr/
 +  * MalWr --- teste dans Cuckoo SandBox. Soumettre une analyse dans le menu Submit. Idem, les fichiers peuvent être partagés. --- https://malwr.com/
  
  
  
 +.
  
- [SIM] — Sécurité informatique et Malwares - Analyse des menaces et mise en œuvre des contre-mesures — Paul Rascagnères - éd. ENI 2016 +[SIM] — Sécurité informatique et Malwares - Analyse des menaces et mise en œuvre des contre-mesures — Paul Rascagnères - éd. ENI 2016 
wiki/securite/menaces/fichiers_ms_office.1743683634.txt.gz · Dernière modification : de palas
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki