首页
社区
课程
招聘
[原创]分析钓鱼邮件搭载的Excel 4.0恶意宏
发表于: 2020-7-7 11:44 7894

[原创]分析钓鱼邮件搭载的Excel 4.0恶意宏

2020-7-7 11:44
7894

工欲善其事必先利其器,首先既然遇到的是宏病毒文件,所以本地得装好office,本文使用的环境为office2016,之后打开Excel。额,咋和平时看到的Excel表格不一样?如果不嫌麻烦ocr一下图片里显示的意思大概是说得启用宏后才能查看到图片内容,本质就是诱惑用户来启用宏,所以文档存在宏代码的话一启动就被提示需要启用宏。嘿嘿,别启用就对了。


对于宏病毒,笔者目前接(是)触(工)不(具)多(党),不过之前使用过一个Python工具oletools。如果是Python2.7环境则安装命令为:pip install oletools。


装好后,利用oletools工具里的mraptor(macrorapter)查看是否可疑,如下显示可疑文件。


如果使用olevba提取恶意宏会解析失败,如下。


如果之前没有过多接触宏病毒,到这里肯定就一头雾水。其实原因是该样本没有存在VBA宏,而是被检测到了Excel 4.0宏(这个技术存在的时间比我年龄还大,真的),属性设置为隐藏。


关于Excel 4.0宏暂时不过多介绍了,因为参考链接里介绍的很详细了,有兴趣就直接看文末的链接,没有兴趣直接看笔者接下来的操作。不过虽然不能手工提取恶意代码,但是取巧也可以通过沙箱获取执行的命令,如下。


第一阶段命令,如下。



第二阶段命令scan.txt内容如下,会使用IEX命令当做脚本内容执行。


该样本是无法通过右键来取消隐藏的,因为首先文档里不显示宏工作表,想右键取消会发现没有选项,但是这里可以使用oledump这个工具辅助一下,使用的命令如下:

oledump_V0_0_50>oledump.py -p plugin_biff.py --pluginoptions "-o BOUNDSHEET -a"  C:\Users\onion\Desktop\Dokumentation.xls\Dokumentation.xls


得到位置序列:51 AA 02 00 01,0x00表示不隐藏,0x01表示隐藏,0x02表示深度隐藏。


直接手工修改十六进制,如下。


当保存后重新打开会出现宏工作表,不过宏代码目前是无法显示的,因为字体设置为白色了,也是为了对抗分析,增加迷惑性。


我们可以选中后更改字体颜色,让宏代码显示出来。


由于字体显示空白,可将其复制,之后再新建XLM 4.0宏表,粘贴至另外的宏工作表,然后全选中,接着修改文字颜色,就可以查看了。咦,出现了明显的PowerShell脚本痕迹。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
最新回复 (4)
雪    币: 5182
活跃值: (9697)
能力值: ( LV9,RANK:181 )
在线值:
发帖
回帖
粉丝
2
按https://bbs.pediy.com/thread-260521.htm操作,居然真下载到了样本!!!
2020-7-7 12:34
0
雪    币: 17428
活跃值: (5009)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
3
nevinhappy 按https://bbs.pediy.com/thread-260521.htm操作,居然真下载到了样本!!!
2020-7-7 15:33
0
雪    币: 26245
活跃值: (63297)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
4
感谢分享~
2020-7-7 18:31
0
雪    币: 824
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感谢分享!新手看到津津有味。。。。。。
2020-7-8 07:30
0
游客
登录 | 注册 方可回帖
返回
//