[原创]自动化提取恶意文档中的shellcode

发表于: 2022-12-16 20:15 16782

[原创]自动化提取恶意文档中的shellcode

g0mx

2022-12-16 20:15

16782

概述

该shellcode提取器的应用对象是Maldoc，通过将市面上存在的相关分析工具进行组合，形成工具链，达到自动化定位及提取shellcode的目的。

语言及环境

语言：python + javascript
环境：REMnux docker + win7 (注：不使用RTF中的动态方法，可以摒弃win7，但面对一下经混淆的RTF文件可能无法正确提取shellcode)
The docker image(g0mx/remnux-shellcode_extractor) created by myself for extracting shellcode from maldoc based on REMnux

实现细节

实现并不复杂，本人认为该工具的实现思路是它的闪光点。实现思路，即将分析人员手动定位并提取shellcode的步骤自动化。
整体流程主要由解包、定位、提取这三个环节组成，后续的优化并不会改变整体流程。

解包：针对RTF文件中OLE对象的定位和提取，本工具采用了动态和静态两种方式来解决此问题，二者也各有利弊。静态方式主要轮子取自Didier Stevens工具集，动态方式是本人基于frida hook框架编写了几个脚本来实现的，后文会进行详细阐述；针对OOXML文件的解包，主要轮子取自Didier Stevens工具集；针对OLE对象的解包，主要轮子取自Didier Stevens工具集。此外，该阶段会对文档类型及是否加密进行判断，主要轮子取自于oletools工具集，若加密则进行解密，随后进入下一环节；若未加密，则直接进入下一阶段。
定位：主要轮子取自Didier Stevens工具集，其主要思想为遍历及暴力破解，首先对OLE对象进行解包，随后对其每个子stream进行暴力破解，特征匹配，以达到定位shellcode的目的。
提取：主要轮子取自于Didier Stevens工具集，很简单的一步，定位后尝试对目标位置进行解码，随后dump即可得到最终的shellcode。

解包

判断文件类型

通过oleid检查maldoc的基本信息，并根据其中Container format字段的键值判断该文件的具体类型，根据类型进入不同的分支，但最终都会走入OLE对象处理分支。

检查该文档是否被加密

通过oleid检查maldoc的基本信息，根据其中的Encrypted字段的键值判断该文件是否被加密。

若该文件被加密，可以通过msoffcrypto-crack对密码进行爆破，并保存完成解密的文件。

文件类型

RTF文件

本人对RTF文件的处理主要分为静态和动态两种形式，其中静态的优点在于可以不依赖于Windows环境，直接基于REMnux来完成OLE对象及其中shellcode的提取操作，但面对一些经过特殊混淆的RTF文件时，可能不能有效识别其中的OLE对象，因而本人基于frida实现了一个动态定位并获取OLE对象的工具，该工具的灵感来源于Denis O'Brien大佬的一篇文章(Reference中最后一项)。

静态方法

静态方法主要利用Didier Stevens的rtfdump工具中最新更新的“-F”选项，其在blog中说到，该选项是由“-H”和“-S”演变过来的，简单根据源码说一下本人对这两个选项功能的理解。
“-H”和“-S”主要由HexDecode这个函数来实现，其功能是对字节流进行处理，并将其转换为十六进制的形式，其中包含判读奇偶和补零操作(“-S”)。虽然一个正常的hex流其肯定应该是偶数位的，这样才有正确解析的可能，但由于一些RTF解析器会对hex流为奇数位(有些maldoc构造者为了逃避检测会在hex流最后的位置额外添加一个十六进制字符)的问题进行处理，以完成解析，因此该函数中的判断奇偶和补零操作，应该就是为了正确解析进行了这种混淆操作的字节流；同样其也可以对抗在hex流中添加了大量空白字符这种混淆手法。本人对RTF的混淆方式了解还不是很全面，难免会有纰漏，欢迎指正和补充。
具体源码如下：

通过“-F”选项找到所有OLE对象后，将所有OLE对象的标识保存下来，为后续提取做准备。

将所有找到的OLE对象，根据标识定位并保存下来，传给OLE对象处理模块，进行后续处理。

动态方法

通过运行与hook相结合的方式，可以让我们不去考虑去混淆的问题，直接找到OLE对象并将其进行保存就可以，而Denis O'Brien大佬的Silver Bullet方法给我了用运行和hook解决该问题的灵感和方法论。
本人所实现的hook是基于frida的，整体实现十分简洁，准备部分是由python实现的，hook部分是用js实现的，python部分没啥可说的，很容易理解，可以看一下frida官方给出的例子，以及DarunGrim的Using Frida For Windows Reverse Engineering这篇文章，且这篇文章写的非常精彩，它为我们提供了基于frida hook对office宏指令进行有效处理的方法，值得学习。那我们来看一下hook的实现吧。
要想获取到OLE对象，OleConvertOLESTREAMToIStorage是关键API，我们来看一下Microsoft给出的详细解释，该API功能是将OLE对对象的格式从OLE1转换到OLE2，其中一定包含了我们想要的OLE对象信息。

因而我们可以hook该API，并通过该API的第一个参数lpolestream(其是指向包含OLE1格式的OLE对象的指针)找到OLE对象，再根据存储结构找到OLE对象的具体位置及OLE对象的整体长度即可，具体操作请看Silver Bullet方法，大佬写的十分清晰且详细，复现非常简单，本文也不再进行过多赘述，hook的具体实现请看本人写的js代码，主要就是进行了获取并保存OLE地址和OLE长度的工作。
js代码如下：

通过复现Silver Bullet，我也发现了一个小问题，即通过API参数获取到的OLE对象地址(0x0A6A5B28)，并未直接指向OLE对象的标识头(红框中十六进制字节)，若直接根据地址和长度对该块内存进行dump，所获取的文件并不能直接传入本人所写的shellcode提取器，这是由于文件头的问题，导致oledump无法对该OLE对象进行正确解析，后续的操作也就无从谈起。

通过查阅frida文档，我发现可以用frida提供的内存数据匹配来实现精确拷贝，将OLE对象头作为匹配所用的模式串即可解决该问题。
js代码如下：

OOXML文件

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

最后于 2023-7-18 09:29 被g0mx编辑，原因：新增基于Remnux docker构建的portable运行环境

#调试逆向 #病毒木马 #其他内容

收藏・10

免费・9

支持

最新回复 (6)
ranni0225 雪币： 227 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ranni0225 2 楼 ole32!OleConvertOLESTREAMToIStorage实际数据可能是0x0A6A5B88开头这里，格式在[MS-OLEDS]里有提到。而且里面的对象并不能保证都是CFB文件(D0CF11E0开头)。例如之前比较常见的，文件里嵌一个Package释放到临时目录，再用FileMoniker去调起文件的方法，Package的数据头就是02XXXXXX。之前我是用WinDbg自动提取这个对象的数据的，记录的内容是这样的： ------ 用WinDbg附加到WINWORD.exe，然后执行下面的命令(需要在C盘根目录下建立一个名为MemoryDump的文件夹)。 .symopt +0x100; r $t0 = 0; bc ; bu ole32!OleConvertOLESTREAMToIStorage; g; .while (1) { aS /c ${/v:filename} .printf "C:\\MemoryDump\\Dump_%i.OLEObject", $t0; .block { .writemem ${filename} poi(poi(poi(esp+4)+8)) L dwo(poi(esp+4)+c) }; al; ad ; r $t0 = $t0 + 1; g; } 详细解释 .symopt +0x100; 关闭不必要的符号加载否则可能会把输出的错误信息写到aS定义的别名里 r $t0 = 0; 使用寄存器t0作为计数器 bc ; 清除所有断点 bu ole32!OleConvertOLESTREAMToIStorage; 对OleConvertOLESTREAMToIStorage下延迟的符号断点 g; 恢复执行 .while (1) { aS /c ${/v:filename} .printf "C:\\MemoryDump\\Dump_%i.OLEObject", $t0; 定义一个别名filename, 值为要写入的文件路径 .block { .writemem ${filename} poi(poi(poi(esp+4)+8)) L dwo(poi(esp+4)+c) }; 将OLE对象的内容写入到文件 al; 显示别名(调试用) ad ; 清除别名 r $t0 = $t0 + 1; 计数器加1 g; 恢复执行 } 写入到文件的内容为OLEObject结构，在[MS-OLEDS]里有详细的定义。下面是一个简单的说明。该结构的头部定义如 - offset - 0 1 2 3 4 5 6 7 8 9 A B C D E F 0123456789ABCDEF 0x00000000 0105 0000 0200 0000 1800 0000 4d73 786d ............Msxm 0x00000010 6c32 2e53 4158 584d 4c52 6561 6465 722e l2.SAXXMLReader. 0x00000020 362e 3000 0000 0000 0000 0000 0006 0000 6.0............. 第一个DWORD是OLEVersion，即OLE对象的版本号，通常为01050000。第二个DWORD是ObjectType，即OLE对象的类型。 01表示LinkedObject(链接对象)，02表示EmbeddedObject(嵌入对象)，大多数情况是02。接下来是3个LengthPrefixedAnsiString结构。这个结构首先用一个DWORD用于表示后面的字符串长度，随后是一个该长度的以\0结尾的字符串。如果长度为0，则后面的字符串不存在。第一个LengthPrefixedAnsiString结构是ClassName，用于描述对象的类别。当ObjectType为02时，后两个LengthPrefixedAnsiString结构的字符串长度均为0。如果ObjectType为02，在这3个LengthPrefixedAnsiString结构的数据就是OLE对象的实际数据(NativeData)了。 NativeData以一个DWORD开头(数据长度，设为length)，随后的length个字节是数据(如果这个数据是02开头，通常是Package，如果是D0CF11E0就是复合文件结构了)。 ------ 对应到图里的内容的话，就是这样的： 0x0A6A5B88: EA930B52 \| 可能是修改过的OLE头, 一般来说这个值是01050000 02000000 \| 0x02, EmbeddedObject 10000000 \| 第一个LengthPrefixedAnsiString, 0x10, 随后的0x10个字节是一个以00结尾的ANSI字符串 34344A55 664C6D79 5A493858 48586300 \| 00000000 \| 第二个LengthPrefixedAnsiString 00000000 \| 第三个LengthPrefixedAnsiString 00100000 \| NativeData的大小, 0x1000(4KB) D0CF11E0 A1B11AE1 ... \| NativeData 最后于 2023-5-29 09:36 被ranni0225编辑，原因：格式修改 2023-5-27 09:04 0
g0mx 雪币： 2053 活跃值： (3596) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 23 粉丝 12 关注私信	g0mx 3 楼 ranni0225 ole32!OleConvertOLESTREAMToIStorage实际数据可能是0x0A6A5B88开头这里，格式在[MS-OLEDS]里有提到。而且里面的对象并不能保证都是CFB文件(D0CF1 ... 非常感谢您的回复与指正，是否有对应的样本呢，我这边想研究一下。 2023-5-29 09:20 0
秋狝雪币： 3984 活跃值： (31431) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 4 楼感谢分享 2023-5-29 09:23 1
g0mx 雪币： 2053 活跃值： (3596) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 23 粉丝 12 关注私信	g0mx 5 楼 ranni0225 ole32!OleConvertOLESTREAMToIStorage实际数据可能是0x0A6A5B88开头这里，格式在[MS-OLEDS]里有提到。而且里面的对象并不能保证都是CFB文件(D0CF1 ... 这里以“D0CF11E0”作为标识去寻找的原因是，在下一步处理中用到了“oledump”这个解包脚本，该脚本会对OLE对象进行解包，因而我只需提取完整的OLE对象(完整)即可。 2023-5-29 09:27 0
ranni0225 雪币： 227 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ranni0225 6 楼 g0mx 这里以“D0CF11E0”作为标识去寻找的原因是，在下一步处理中用到了“oledump”这个解包脚本，该脚本会对OLE对象进行解包，因而我只需提取完整的OLE对象(完整)即可。直接用写字板在RTF里插入一个Package对象应该就可以，不用特意构造的。方便留个联系方式么O.O。 2023-5-29 09:30 0
g0mx 雪币： 2053 活跃值： (3596) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 23 粉丝 12 关注私信	g0mx 7 楼 ranni0225 直接用写字板在RTF里插入一个Package对象应该就可以，不用特意构造的。方便留个联系方式么O.O。可以的，我的邮箱g0mx_xm@163.com 2023-5-29 10:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

g0mx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
ranni0225 雪币： 227 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ranni0225 2 楼 ole32!OleConvertOLESTREAMToIStorage实际数据可能是0x0A6A5B88开头这里，格式在[MS-OLEDS]里有提到。而且里面的对象并不能保证都是CFB文件(D0CF11E0开头)。例如之前比较常见的，文件里嵌一个Package释放到临时目录，再用FileMoniker去调起文件的方法，Package的数据头就是02XXXXXX。之前我是用WinDbg自动提取这个对象的数据的，记录的内容是这样的： ------ 用WinDbg附加到WINWORD.exe，然后执行下面的命令(需要在C盘根目录下建立一个名为MemoryDump的文件夹)。 .symopt +0x100; r $t0 = 0; bc ; bu ole32!OleConvertOLESTREAMToIStorage; g; .while (1) { aS /c ${/v:filename} .printf "C:\\MemoryDump\\Dump_%i.OLEObject", $t0; .block { .writemem ${filename} poi(poi(poi(esp+4)+8)) L dwo(poi(esp+4)+c) }; al; ad ; r $t0 = $t0 + 1; g; } 详细解释 .symopt +0x100; 关闭不必要的符号加载否则可能会把输出的错误信息写到aS定义的别名里 r $t0 = 0; 使用寄存器t0作为计数器 bc ; 清除所有断点 bu ole32!OleConvertOLESTREAMToIStorage; 对OleConvertOLESTREAMToIStorage下延迟的符号断点 g; 恢复执行 .while (1) { aS /c ${/v:filename} .printf "C:\\MemoryDump\\Dump_%i.OLEObject", $t0; 定义一个别名filename, 值为要写入的文件路径 .block { .writemem ${filename} poi(poi(poi(esp+4)+8)) L dwo(poi(esp+4)+c) }; 将OLE对象的内容写入到文件 al; 显示别名(调试用) ad ; 清除别名 r $t0 = $t0 + 1; 计数器加1 g; 恢复执行 } 写入到文件的内容为OLEObject结构，在[MS-OLEDS]里有详细的定义。下面是一个简单的说明。该结构的头部定义如 - offset - 0 1 2 3 4 5 6 7 8 9 A B C D E F 0123456789ABCDEF 0x00000000 0105 0000 0200 0000 1800 0000 4d73 786d ............Msxm 0x00000010 6c32 2e53 4158 584d 4c52 6561 6465 722e l2.SAXXMLReader. 0x00000020 362e 3000 0000 0000 0000 0000 0006 0000 6.0............. 第一个DWORD是OLEVersion，即OLE对象的版本号，通常为01050000。第二个DWORD是ObjectType，即OLE对象的类型。 01表示LinkedObject(链接对象)，02表示EmbeddedObject(嵌入对象)，大多数情况是02。接下来是3个LengthPrefixedAnsiString结构。这个结构首先用一个DWORD用于表示后面的字符串长度，随后是一个该长度的以\0结尾的字符串。如果长度为0，则后面的字符串不存在。第一个LengthPrefixedAnsiString结构是ClassName，用于描述对象的类别。当ObjectType为02时，后两个LengthPrefixedAnsiString结构的字符串长度均为0。如果ObjectType为02，在这3个LengthPrefixedAnsiString结构的数据就是OLE对象的实际数据(NativeData)了。 NativeData以一个DWORD开头(数据长度，设为length)，随后的length个字节是数据(如果这个数据是02开头，通常是Package，如果是D0CF11E0就是复合文件结构了)。 ------ 对应到图里的内容的话，就是这样的： 0x0A6A5B88: EA930B52 \| 可能是修改过的OLE头, 一般来说这个值是01050000 02000000 \| 0x02, EmbeddedObject 10000000 \| 第一个LengthPrefixedAnsiString, 0x10, 随后的0x10个字节是一个以00结尾的ANSI字符串 34344A55 664C6D79 5A493858 48586300 \| 00000000 \| 第二个LengthPrefixedAnsiString 00000000 \| 第三个LengthPrefixedAnsiString 00100000 \| NativeData的大小, 0x1000(4KB) D0CF11E0 A1B11AE1 ... \| NativeData 最后于 2023-5-29 09:36 被ranni0225编辑，原因：格式修改 2023-5-27 09:04 0
g0mx 雪币： 2053 活跃值： (3596) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 23 粉丝 12 关注私信	g0mx 3 楼 ranni0225 ole32!OleConvertOLESTREAMToIStorage实际数据可能是0x0A6A5B88开头这里，格式在[MS-OLEDS]里有提到。而且里面的对象并不能保证都是CFB文件(D0CF1 ... 非常感谢您的回复与指正，是否有对应的样本呢，我这边想研究一下。 2023-5-29 09:20 0
秋狝雪币： 3984 活跃值： (31431) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 4 楼感谢分享 2023-5-29 09:23 1
g0mx 雪币： 2053 活跃值： (3596) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 23 粉丝 12 关注私信	g0mx 5 楼 ranni0225 ole32!OleConvertOLESTREAMToIStorage实际数据可能是0x0A6A5B88开头这里，格式在[MS-OLEDS]里有提到。而且里面的对象并不能保证都是CFB文件(D0CF1 ... 这里以“D0CF11E0”作为标识去寻找的原因是，在下一步处理中用到了“oledump”这个解包脚本，该脚本会对OLE对象进行解包，因而我只需提取完整的OLE对象(完整)即可。 2023-5-29 09:27 0
ranni0225 雪币： 227 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ranni0225 6 楼 g0mx 这里以“D0CF11E0”作为标识去寻找的原因是，在下一步处理中用到了“oledump”这个解包脚本，该脚本会对OLE对象进行解包，因而我只需提取完整的OLE对象(完整)即可。直接用写字板在RTF里插入一个Package对象应该就可以，不用特意构造的。方便留个联系方式么O.O。 2023-5-29 09:30 0
g0mx 雪币： 2053 活跃值： (3596) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 23 粉丝 12 关注私信	g0mx 7 楼 ranni0225 直接用写字板在RTF里插入一个Package对象应该就可以，不用特意构造的。方便留个联系方式么O.O。可以的，我的邮箱g0mx_xm@163.com 2023-5-29 10:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复