2 types d'infections : [SIM p93]

• par ingénierie sociale et les fonctionnalités internes de Micro$oft Office (macros surtout).
• par les vulnérabilités internes de Micro$oft Office.

OfficeMalScanner v0.5 is a Ms Office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams. — http://reconstructer.org/code.html (Win)
Il permet d'identifier les fichiers contenant un ShellCode et d'extraire les scripts VBA.

• OfficeMalScanner.exe FICHIER.doc info — extrait les macros dans le dossier X:\FICHIER.doc-Macros.

oledump.py (libre) fait la même chose. — https://blog.didierstevens.com/programs/oledump-py/

• python oledump.py FICHIER.doc — Montre le nombre & titres des objets contenus dans FICHIER.doc.
• python oledump.py -v -s 8 FICHIER.doc — Montre le code VBA de l'objet 8 contenu dans FICHIER.doc.

Si le code est obfusqué, utiliser deobfuscate_chr.py — https://github.com/xme/toolbox/blob/master/deobfuscate_chr.py

• python oledump.py -v -s 8 FICHIER.doc | deobfuscate_chr.py

Les exploits utilisent des shellcodes, ce sont des ensembles d'instructions en assembleur. Certains utilise l'instruction NOP (0x90) au début du shellcode. Ici, nous utilisons le CVE-2012-0158.

• strings -a FICHIER.rtf
• On peut visualiser ce shellcode avec IDA Pro ou Radare2 (désassembleurs).
• Il y a une ligne avec xor byte [ebx], Ox3f
• La clef XOR est 0x3F.
• cat FICHIER.rtf | xor8.py 0x3f — fait apparaître un binaire, qui est copié sur disque et exécuté par le malware.

• VirusTotal — teste les binaires sur 43 antivirus du marché. Les fichiers qui lui sont envoyés peuvent être partagés avec les éditeurs d'antivirus ou des partenaires. — https://www.virustotal.com/fr/
• MalWr — teste dans Cuckoo SandBox. Soumettre une analyse dans le menu Submit. Idem, les fichiers peuvent être partagés. — https://malwr.com/

.

[SIM] — Sécurité informatique et Malwares - Analyse des menaces et mise en œuvre des contre-mesures — Paul Rascagnères - éd. ENI 2016