-
-
[原创]分析钓鱼邮件搭载的Excel 4.0恶意宏
-
发表于:
2020-7-7 11:44
7883
-
[原创]分析钓鱼邮件搭载的Excel 4.0恶意宏
工欲善其事必先利其器,首先既然遇到的是宏病毒文件,所以本地得装好office,本文使用的环境为office2016,之后打开Excel。额,咋和平时看到的Excel表格不一样?如果不嫌麻烦ocr一下图片里显示的意思大概是说得启用宏后才能查看到图片内容,本质就是诱惑用户来启用宏,所以文档存在宏代码的话一启动就被提示需要启用宏。嘿嘿,别启用就对了。
对于宏病毒,笔者目前接(是)触(工)不(具)多(党),不过之前使用过一个Python工具oletools。如果是Python2.7环境则安装命令为:pip install oletools。
装好后,利用oletools工具里的mraptor(macrorapter)查看是否可疑,如下显示可疑文件。
如果使用olevba提取恶意宏会解析失败,如下。
如果之前没有过多接触宏病毒,到这里肯定就一头雾水。其实原因是该样本没有存在VBA宏,而是被检测到了Excel 4.0宏(这个技术存在的时间比我年龄还大,真的),属性设置为隐藏。
关于Excel 4.0宏暂时不过多介绍了,因为参考链接里介绍的很详细了,有兴趣就直接看文末的链接,没有兴趣直接看笔者接下来的操作。不过虽然不能手工提取恶意代码,但是取巧也可以通过沙箱获取执行的命令,如下。
第一阶段命令,如下。
第二阶段命令scan.txt内容如下,会使用IEX命令当做脚本内容执行。
该样本是无法通过右键来取消隐藏的,因为首先文档里不显示宏工作表,想右键取消会发现没有选项,但是这里可以使用oledump这个工具辅助一下,使用的命令如下:
oledump_V0_0_50>oledump.py -p plugin_biff.py --pluginoptions "-o BOUNDSHEET -a" C:\Users\onion\Desktop\Dokumentation.xls\Dokumentation.xls
得到位置序列:51 AA 02 00 01,0x00表示不隐藏,0x01表示隐藏,0x02表示深度隐藏。
直接手工修改十六进制,如下。
当保存后重新打开会出现宏工作表,不过宏代码目前是无法显示的,因为字体设置为白色了,也是为了对抗分析,增加迷惑性。
我们可以选中后更改字体颜色,让宏代码显示出来。
由于字体显示空白,可将其复制,之后再新建XLM 4.0宏表,粘贴至另外的宏工作表,然后全选中,接着修改文字颜色,就可以查看了。咦,出现了明显的PowerShell脚本痕迹。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)