====== Fichiers M$ Office ====== 2 types d'infections : [SIM p93] * par ingénierie sociale et les fonctionnalités internes de Micro$oft Office (macros surtout). * par les vulnérabilités internes de Micro$oft Office. ==== Analyse d'un fichier M$ Office ==== OfficeMalScanner v0.5 is a Ms Office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams. --- http://reconstructer.org/code.html (Win) \\ Il permet d'identifier les fichiers contenant un ShellCode et d'extraire les scripts VBA. * ''OfficeMalScanner.exe FICHIER.doc info'' --- extrait les macros dans le dossier X:\FICHIER.doc-Macros. **''oledump.py''** (libre) fait la même chose. --- https://blog.didierstevens.com/programs/oledump-py/ ==== Malware utilisant une macro ==== * ''python oledump.py FICHIER.doc'' --- Montre le nombre & titres des objets contenus dans FICHIER.doc. * ''python oledump.py -v -s 8 FICHIER.doc'' --- Montre le code VBA de l'objet 8 contenu dans FICHIER.doc. Si le code est obfusqué, utiliser **''deobfuscate_chr.py''** --- https://github.com/xme/toolbox/blob/master/deobfuscate_chr.py * ''python oledump.py -v -s 8 FICHIER.doc | deobfuscate_chr.py'' ==== Malware utilisant une vulnérabilité ==== Les exploits utilisent des ''shellcodes'', ce sont des ensembles d'instructions en assembleur. Certains utilise l'instruction ''NOP'' (0x90) au début du shellcode. Ici, nous utilisons le CVE-2012-0158. * ''strings -a FICHIER.rtf'' * On peut visualiser ce shellcode avec IDA Pro ou Radare2 (désassembleurs). * Il y a une ligne avec ''xor byte [ebx], Ox3f'' * La clef XOR est 0x3F. * ''cat FICHIER.rtf | xor8.py 0x3f'' --- fait apparaître un binaire, qui est copié sur disque et exécuté par le malware. ==== ... ==== ==== Ressources sur les malwares ==== * VirusTotal --- teste les binaires sur 43 antivirus du marché. Les fichiers qui lui sont envoyés peuvent être partagés avec les éditeurs d'antivirus ou des partenaires. --- https://www.virustotal.com/fr/ * MalWr --- teste dans Cuckoo SandBox. Soumettre une analyse dans le menu Submit. Idem, les fichiers peuvent être partagés. --- https://malwr.com/ . [SIM] — Sécurité informatique et Malwares - Analyse des menaces et mise en œuvre des contre-mesures — Paul Rascagnères - éd. ENI 2016