利用开源工具分析新型PowerPoint恶意文档

  • 时间:
  • 浏览:2
  • 来源:爱乐彩网站_爱乐彩下载_爱乐彩官网

要选则 本文档有无滥用此功能,我们 还上能 使用YARA。我们 定义了好哪几个 多多多简单的YARA规则来搜索字符串“ppaction”和“powershell”:

一始于英文说,恶意软件作者机会会滥用PowerPoint的鼠标悬停功能启动命令。这还上能 通过使用ppaction://协议的URL来启动PowerShell命令。

以PK开头的文件很有机会是ZIP文件。全都我们 把或多或少文件和管道转储到zipdump.py(好哪几个 多多多分析ZIP文件的工具)中:

现在我们 还上能 清楚地识别PowerShell命令:它将下载并执行好哪几个 多多多文件。网址尚未完整性清楚。它是通过在PowerShell中连接(+)字符串和转换为字符([char] 0x2F)的字节来构建的)。字节0x2F是正斜杠(/)的ASCII值,全都你还上能 们 用sed替换或多或少实际字符的字节。

我们 现在还上能 通过使用sed再次删除“+”来执行字符串连接:

我们 来看看文件19:

我们 使用zipdump.py在ZIP文件中的每个文件上应用YARA规则:

全都ZIP文件(.pptx或.ppsx)暗含好哪几个 多多多JPEG文件(JFIF),1好哪几个 多多多空文件和36个XML文件。

.jse文件是好哪几个 多多多编码的JavaScript文件。它与VBE(编码VBScript)相同的编码,还上能 使用此工具进行解码。

这给了我们 好哪几个 多多多URL编码的PowerShell命令(和从前目标值,好哪几个 多多多.xml文件的名称,这对于或多或少分析不重要)。使用translate.py和或多或少Python代码,我们 还上能 使用模块urllib来解码URL:

本文讲的是利用开源工具分析新型PowerPoint恶意文档,最新新经常突然出现了好哪几个 多多多新型的恶意MS Office文档:通过将鼠标光标悬停在链接上来执行PowerShell命令的PowerPoint文档,此攻击不涉及VBA宏。在本博客中,我们 将展示何如使用免费的开源工具分析什么文档。像往常一样,该恶意MS Office文件通过电子邮件发送给受害者。

的确,如上图截图所示,我们 好哪几个 多多多多Target =“powershell …命令,具有Id =”rId2“。我们 来解释和解码或多或少命令。首先,我们 使用Re-search.py来提取具有正则表达式的Target值:

要执行的进程还上能 使用id rId2找到,而且 我们 机会怀疑该进程是Powershell,并在文件21中定义。而且 ,你还上能 们 来看看:

结论

这是好哪几个 多多多ZIP文件。从ZIP文件中的文件名来看,我们 还上能 假定它是好哪几个 多多多PowerPoint文件:.pptx或.ppsx。

我们 现在还上能 清楚地看后该文件从哪个URL下载,它被写入临时文件夹中.jse扩展名,而且 执行。要提取URL,我们 还上能 再次使用Re-search.py

本文来自云栖社区合作方式方式伙伴嘶吼,了解相关信息还上能 关注嘶吼网站。

使用zipdump和选项-E(-E选项提供有关所暗含文件类型的额外信息),我们 还上能 通过查看头文件并计算哪几个个文件,了解该PowerPoint文件中暗含的文件类型相同标题:

本文作者:愣娃

分析

输出表示邮件附件位于第5每段。我们 选则 第5每段,并执行前100个字节的HEX / ASCII转储,以了解我们 处里的文件类型:

如上图所示,文件19(ppt/slides/slide1.xml,这是演示文稿的第一张幻灯片)暗含字符串ppaction字符串,文件21(ppt/ slides/_rels/slide1.xml.rels)暗含字符串电源外壳。

通过寻找字符串ppaction(或多或少字符串机会被模糊化)来检测潜在的恶意PowerPoint文件,从而滥用此功能相当容易。字符串powershell也是好哪几个 多多多很好的候选人搜索,但请注意,PowerShell以外的或多或少进程可用于执行恶意操作。

使用emldump.py(好哪几个 多多多分析MIME文件的工具),我们 还上能 分析用户收到的电子邮件:

原文发布时间为:2017年6月9日