Уроки форензики. Исследуем вредоносные документы Microsoft Office

Сог­ласно мат­рице MITRE ATT&CK, ата­ка, в которой зло­умыш­ленни­ки исполь­зуют докумен­ты Microsoft Office, называ­ется Spearphising Attachment. Что­бы рас­ска­зать о методах ана­лиза при­меня­емых в таких ата­ках фай­лов, я вос­поль­зуюсь дву­мя задани­ями с ресур­са CyberDefenders. Пер­вое из них — Obfuscated — поз­волит нам иссле­довать вре­донос­ный документ в фор­мате DOC. С помощью вто­рого, под наз­вани­ем Emprisa Maldoc, мы раз­берем, как зло­умыш­ленни­ки исполь­зуют документ RTF для выпол­нения шелл‑кода.

Су­щес­тву­ют сле­дующие методы выпол­нения вре­донос­ного кода в докумен­тах Microsoft Office.

1. Вы­пол­нение кода, встро­енно­го в мак­рос VBA.
2. Вы­пол­нение JavaScript в докумен­тах Microsoft Office.
3. Вы­пол­нение полез­ной наг­рузки с исполь­зовани­ем уяз­вимос­тей в при­ложе­ниях Microsoft Office.

Для нашей работы мы будем исполь­зовать сле­дующий набор ути­лит:

• oleid — для ана­лиза OLE-фай­лов;
• olevba — для извле­чения и ана­лиза исходно­го кода мак­росов VBA из докумен­тов MS Office (OLE и OpenXML);
• oledump — для ана­лиза потоков дан­ных OLE-фай­ла;
• rtfdump — для ана­лиза фай­лов фор­мата RTF;
• rtfobj — для извле­чения встро­енных объ­ектов из фай­лов RTF;
• scdbg — для ана­лиза шелл‑кода, ути­лита пос­тро­ена на осно­ве биб­лиоте­ки для эму­ляции libemu.

Все необ­ходимые для ана­лиза вре­донос­ных докумен­тов ути­литы находят­ся в катало­ге FLARE\Office вир­туаль­ной машины под управле­нием Windows 10. А опи­сание обще­го под­хода к это­му самому ана­лизу мож­но най­ти в памят­ке Лен­ни Зель­цера.

Итак, прис­тупим к изу­чению фай­лов с сай­та CyberDefenders. Я не буду при­водить отве­ты на воп­росы из заданий — пов­торив все опи­сан­ные ниже экспе­римен­ты, ты смо­жешь най­ти их сам.

Obfuscated

Заг­рузим с сай­та ар­хив с задани­ем. Пер­вым делом пос­чита­ем хеш MD5 содер­жащего­ся в архи­ве фай­ла (в резуль­тате получит­ся зна­чение 49b367ac261a722a7c2bbbc328c32545) и про­верим его на VirusTotal.

Те­перь получим информа­цию о струк­туре вре­донос­ного докумен­та. Для это­го вос­поль­зуем­ся ути­литой oleid.

Тул­за опре­дели­ла, что это документ Microsoft Office Word и в нем есть VBA-мак­рос. Его нам пред­сто­ит вытащить наружу. Для начала вос­поль­зуем­ся ути­литой oledump и пос­мотрим, в каком потоке OLE содер­жится VBA-мак­рос.

Мак­рос спря­тал­ся в вось­мом потоке дан­ных. Выг­рузим его при помощи инс­тру­мен­та olevba с клю­чом -a.

В потоке Macros/VBA/Module1 сос­редото­чена основная фун­кци­ональ­ность вре­донос­ного скрип­та. Из вывода ути­литы вид­но, какие фун­кции он исполь­зует. Давай извле­чем этот скрипт и нач­нем иссле­довать код.

Фун­кция AutoOpen() запус­кает выпол­нение скрип­та, ког­да документ откры­вают. Что­бы усложнить нам работу, зло­умыш­ленни­ки обфусци­рова­ли код VBA-мак­роса: име­на перемен­ных пред­став­лены в фор­мате Base64. Мы будем вруч­ную деоб­фусци­ровать код и раз­берем его фун­кци­ональ­ность.

Нач­нем с фун­кции AutoOpen().

На кар­тинке ты видишь выделен­ный фраг­мент кода, содер­жащий нес­коль­ко очень инте­рес­ных фун­кций. Фун­кция FileLen(ActiveDocument.FullName) получа­ет раз­мер докумен­та Word и записы­вает его в перемен­ную N18Eoi6OG6T2rNoVl41W. Фун­кция Open(ActiveDocument.FullName) откры­вает документ в бинар­ном фор­мате, затем записы­вает его содер­жимое в перемен­ную E2kvpmR17SI и пре­обра­зует счи­тан­ные стро­ки в кодиров­ку Unicode.

Во вто­ром выделен­ном бло­ке с исполь­зовани­ем объ­екта vbscript.regexp выпол­няет­ся поиск такой стро­ки в откры­том фай­ле:

В перемен­ной Y5t4Ul7o385qK4YDhr хра­нит­ся ука­затель на пер­вый сим­вол най­ден­ной стро­ки в исходном докумен­те.

Об­фусци­рован­ный вре­донос­ный код рас­положен пос­ле обна­ружен­ной нами стро­ки, его раз­мер сос­тавля­ет 16 827 байт.

Из фай­ла счи­тыва­ется информа­ция начиная с бай­та 0x503c, далее декоди­рует­ся по алго­рит­му, который мы раз­берем ниже, и сох­раня­ется в файл %appdata%\Microsoft\Windows\maintools.js. Затем с помощью WScript.Shell выпол­няет­ся JS-скрипт maintools.js с парамет­ром EzZETcSXyKAdF_e5I2i1.

Да­вай раз­берем алго­ритм декоди­рова­ния и напишем неболь­шую прог­рамму на Python для получе­ния исходно­го JS-скрип­та.

Для удобс­тва чте­ния кода я пере­име­новал перемен­ные. Алго­ритм декоди­рова­ния очень прост. С каж­дым бай­том выпол­няет­ся опе­рация XOR (исклю­чающее «или») с клю­чом, который хра­нит­ся в перемен­ной KEY. Пос­ле каж­дого пре­обра­зова­ния бай­та изме­няет­ся и сам ключ.