-
-
[翻译]采用XML(Flat OPC Format)格式的Word 2007恶意文档分析
-
发表于: 2018-5-31 20:28
-
上个月,我对一个有趣的恶意文档样本进行了逐步分析,它使用了ZeusVM(也被称为KINS)技术。该文档是一个纯XML格式的文件(大小大约为3MB),它有很大概率能够绕过很多邮件安全解决方案和沙箱技术的检测。它大概算是恶意文件的一种不常见的文件格式。下面让我们看一看具体细节。
图1:安装了Microsoft Office的操作系统会将XML文件识别为MS Word文档
VirusTotal网站检测:报告
HybridAnalysis网站检测:报告
JoeSandbox网站检测:报告
下载:Info_Document.doc.zip(见附件,解压口令为‘infected’)
图2:利用Document-Inspector工具查看文档指纹信息
图3:YARA规则
下载:Word_2007_XML_Flat_OPC.yara(见附件)
图4:010编辑器(文本视图)
图5:XML格式声明,XML格式的处理指令,公开XML格式包以及XML格式命名空间
图6:二进制部分以及二进制对象(<pkg:binaryData>Base64编码数据</pkg:binaryData>)
图7:将Base64编码数据复制到一个新的文本文件中
图8:对Base64编码数据(二进制对象)进行解码
图9:vbaProject.bin(微软Word 2007+)
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2018-5-31 20:29
被木无聊偶编辑
,原因:
|
|
|---|---|
