Как анализировать вредоносные документы — пример атаки на украинские организации
Автор CyberMasterVРезюме
В данной статье представлен анализ двух вредоносных файлов и используемых инструментов. Наш подход можно обобщить на любые другие вредоносные документы. Последний документ представляет собой файл .docx, который использовался для атак на украинские организации в контексте военного конфликта между Россией и Украиной. OLE (Object Linking and Embedding) — это технология, основанная на COM (Component Object Model), которая позволяет связывать объекты или встраивать их в документы.
Аналитик : @GeeksCyber
Первый документ
SHA256: c2672e6fd55b129125a19c7837943c0844c03ec02dcf165af183f9e4df4dccbc
Первым анализируемым файлом является документ Excel. Инструмент oleid используется, чтобы определить, содержит ли файл какие-либо макросы:
Инструмент olevba используется для получения дополнительной информации о найденных макросах VBA:
Как мы видим выше, инструмент обнаружил вредоносный макрос, который будет запускаться, когда макросы включены. Легитимный исполняемый файл certutil.exe используется для загрузки вредоносного двоичного файла (Ugrfa.bat) с удаленного сервера и его запуска.
Oledump — программа для анализа OLE-файлов. Запустив этот инструмент против вредоносного файла, мы можем подтвердить, что он содержит макрос (обратите внимание на букву «M»):
Тот же инструмент используется для создания дампа и распаковки макроса VBA:
ViperMonkey — это механизм эмуляции VBA, который можно использовать для анализа и деобфускации вредоносных макросов VBA. Инструмент смог обнаружить функцию точки входа (workbook_open) и подпрограмму, ответственную за загрузку вредоносного исполняемого файла:
Поскольку этот файл эквивалентен архиву .zip, мы можем использовать zipdump для проверки его содержимого:
Инструмент 7z используется для распаковки файла xlsm. Файл core.xml содержит создателя документа и последнего измененного автором («Dell»), дату создания/дату изменения документа:
Файл workbook.xml содержит 2 элемента <sheet>, которые ссылаются на листы в книге:
SSView — это инструмент, который можно использовать для анализа файлов структурированного хранилища OLE2 (в нашем случае — vbaProject.bin):
ThisWorkbook — это рабочая книга, из которой запускается вредоносный код макроса:
Приведенный выше URL-адрес классифицируется как вредоносный несколькими поставщиками по данным VirusTotal (см. рис. 11). На данный момент мы смогли идентифицировать вредоносный макрос с помощью различных инструментов.
Второй документ
SHA256: 992df82cf31a91acd034411bb43a1ec127fa15d613b108287384882807f81764
Этот документ был разослан организациям в Украине по электронной почте.
Oleid используется для исследования файла, который не содержит макросов VBA, как показано на рисунке 12:
Мы также использовали инструмент olevba, чтобы подтвердить приведенную выше информацию. Выводы лучше проверять с помощью разных инструментов:
С помощью инструмента oledump были идентифицированы три встроенных объекта:
Мы можем определить, что объекты идентичны. Тот же инструмент используется для сброса одного из них:
Содержимое файла .docx можно найти с помощью инструмента zipdump, как и в первом случае:
Инструмент 7z используется для распаковки файла. Файл core.xml содержит дату создания/изменения документа:
Файл отношений document.xml.rels показан ниже (мы можем наблюдать встроенные объекты, некоторые изображения и другие файлы xml):
Мы проанализировали содержимое встроенного объекта с помощью SSView:
Объект OLE Compound File Stream под названием «\1Ole10Native» соответствует встроенному объекту:
Поскольку мы знаем, что документ не содержит макросов, мы можем открыть документ с помощью LibreOffice в Linux. Судя по всему, это отредактированный протокол уголовного расследования Национальной полиции Украины:
Восклицательные знаки, которые можно идентифицировать выше, ведут к внедренным объектам. Когда пользователь нажимает на восклицательный знак, процесс записывает в каталог Temp файл Javascript, который будет запускаться с помощью wscript:
Цель сценария — загрузить файл с https[:]//cdn.discordapp.com/attachments/932413459872747544/938291977735266344/putty.exe и сохранить его как GoogleChromeUpdate.exe. Злоумышленники пытались использовать сеть доставки контента (CDN) Discord, чтобы разместить свою полезную нагрузку; однако VT распознает URL-адрес как вредоносный ( https://www.virustotal.com/gui/url/d261c441e28d7b4cea8171e9cf4cc2c403d39685b97800a52604de979c5576b5 ). Командлет Start-Process используется для выполнения загруженного файла. По данным CERT-UA ( https://cert.gov.ua/article/18419 ), это предположительно троян OutSteel.
Рекомендации
https://zeltser.com/media/docs/analyzing-malicious-document-files.pdf
https://github.com/decalage2/oletools/
https://github.com/decalage2/ViperMonkey
https://github.com/DidierStevens/DidierStevensSuite/blob/master/oledump.py
https://github.com/DidierStevens/DidierStevensSuite/blob/master/zipdump.py
https://www.virustotal.com/gui/url/d261c441e28d7b4cea8171e9cf4cc2c403d39685b97800a52604de979c5576b5
https://cert.gov.ua/article/18419
Перевод вот ЭТОЙ статьи