恶意Office文档解析——4. 针对某些混淆的静态鉴别的正则表达式

最新推荐文章于 2024-06-15 09:37:27 发布
最新推荐文章于 2024-06-15 09:37:27 发布
阅读量317 收藏
点赞数
分类专栏: 文档解析 文章标签: 文档解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42855619/article/details/95931466
版权
  1. 针对字符串操作函数

常见的针对字符串操作函数,如:substr, substring,
unescape,fromcharcode, replace,
split 等,常常作为VBA代码对自身解混淆的函数名。因此检测到上述表达式及其变体,就表明VBA代码中可能存在字符串混淆操作。

设定正则表达式为提取相邻的最近的上述字母字段,可以有效抓取上述单词及其混淆变体。如:

ivtVIlEvRolqQNcPGXPfbKaG = "$yYILe
='hhhKthhKthhKphhK:hhK/hhK/hhKghhKohhKkhhKehhKehhKnhhKahhKkhhKthhKehhK.hhKthhKohhKphhK/hhKahhKdhhKmhhKihhKnhhK.hhKphhKhhhKphhK?hhKfhhK=hhK2hhK,hhKhhhKthhKthhKphhK:hhK/hhK/hhKvhhKihhKdhhKehhKohhKahhKnhhKahhKlhhKyhhKshhKthhKehhKshhK.hhKwhhKehhKbhhKchhKahhKmhhK/hhKahhKdhhKmhhKihhKnhhK.hhKphhKhhhKphhK?hhKfhhK=hhK2hhK,hhKhhhKthhKthhKphhK:hhK/hhK/hhKphhKhhhKohhKthhKohhKghhKrhhKahhKphhKhhhKyhhKphhKohhKihhKnhhKthhKehhKrhhK.hhKmhhKehhKnhhK/hhKahhKdhhKmhhKihhKnhhK.hhKphhKhhhKphhK?hhKfhhK=hhK2'  -re" + "place 'hhK', '';"

这是截取的混淆代码片段,其中包含字符串操作函数replace,目的是对代码片段中的所有“hhk”做替换。replace变体形式为re" + "place。

Replace_RE =r'(r.*e.*p.*l.*a.*c.*e?)'
re_Replace = re.compile(Replace_RE)
search_Replace = re.findall(re_Replace, vbacode)
  1. Chr函数

Chr函数可以访问和操作ASCII字符集,在代码中检测到Chr函数,意味着代码有可能被恶意混淆。ChrB\ChrW可以实现类似的功能。检测VBA代码中的Chr/ChrB/ChrW字段:

uCDq = jOYl / sUBFo05 - hNZ + Chr(93)

  • 420140798 - CLng(fVWISB)

Chr(93) 转换后的字符为]。

match_chrW = re.compile('ChrW\(\d+\)',re.I)
match_chrB = re.compile('ChrB\(\d+\)',re.I)
match_char = re.compile('Char\(\d+\)',re.I)
match_chr = re.compile('Chr\(\d+\)',re.I)
search_chrW = re.findall(match_chrW,vbacode)
search_chrB = re.findall(match_chrB, vbacode)
search_char = re.findall(match_char, vbacode)
search_chr = re.findall(match_chr, vbacode)
  1. Base64

采用64个基本的ASCII码字符对数据进行重新编码,可以实现简单的加密。

BASE64_RE = r'(?:[A-Za-z0-9+/]{4}){1,}(?:[A-Za-z0-9+/]{2}[AEIMQUYcgkosw048]=|[A-Za-z0-9+/][AQgw]==)?'
re_base64_string = re.compile('"' + BASE64_RE + '"')
search_Base64 = re.findall(re_base64_string, vbacode)
  1. 16进制

采用16进制对数据进行重新编码,可以实现简单的加密。

re_hex_string = re.compile(r'(?:[0-9A-Fa-f]{2}){4,}')
search_hexadecimal = re.findall(re_hex_string, vbacode)
  1. 恶意特征分割

一些恶意关键词常常被分割成不同的字母组合,并用
” ” + “ “ 的方式连接。检测特征为多个” ” + “ “ 依次连接,验证代码中是否存在恶意关键词。恶意代码段样本如下:

PaUgLhxxqdL = "p" + "ow" + "er" + "she" + "ll $PKcJxk = n" + "ew-" + "ob" + "ject Sy" + "stem.N" + "et.We" + "bCli" + "ent;$naengWNZ = ne" + "w-ob" + "ject ra" + "ndo" + "m;

初步判断,代码解混淆的结果应该为powershell $PKcJxk = new-object System.Net.WebClient

re_SpecialSpace = re.compile('\"(.+)\"\s[\+/]',flags=re.I)
search_SpecialSpace = re.findall(re_SpecialSpace, vbacode)
  1. 算数序列

VBA混淆代码中,常常利用代数四则运算为变量赋值,以达到混淆目的。代数运算的格式常常为:数字
运算符 数字 ······ 运算符 数字。截取恶意代码段样本如下:

jyoU0xXsC = Trim(Mid(jyoU0xXsC, 3615 - 3612, 3615 - 3612))

CdEYGz = Trim(Mid(CdEYGz, -780 + 784, -780 + 784))

ylefISPr = Trim(Mid(ylefISPr, 7220 / 7220, 7220 / 7220))

re_add = re.compile('(?<=\d)[0-9]+\s[\+\-\*/]\s\d+(?=\d)',flags=re.I)
search_add = re.findall(re_add, vbacode)
  1. 函数名和变量名

VBA代码中函数名和变量名可以进行多种混淆,如:函数名和变量名混淆为乱序字符串,字符串长度过长或过短,函数名和变量名在全文中只调用一次等。

根据VBA语言中函数和变量的命名规则,软件可以检测Dim、Private、Public、Globlal、Static、As、Function、Sub字段,获取VBA代码中出现的函数名和变量名。

re_Function_name_Function = re.compile('(?<=Function ).*?(?=[(])',flags=re.I)
search_Function_name_Function = re.findall(re_Function_name_Function, vbacode)
re_Function_name_Sub = re.compile('(?<=Sub ).*?(?=[(])', flags=re.I)
search_Function_name_Sub = re.findall(re_Function_name_Sub, vbacode)
search_Function_name = (search_Function_name_Function + search_Function_name_Sub)

#Dim variable
re_Variable_Dim = re.compile('(?<=Dim\s).*?(?=[\s\n])',flags=re.I)
search_Variable_Dim = re.findall(re_Variable_Dim, vbacode)
#Private variable
re_Variable_Private = re.compile('(?<=Private\s).*?(?=[\s\n])', flags=re.I)
search_Variable_Private = re.findall(re_Variable_Private, vbacode)
#Public variable,but error
re_Variable_Public = re.compile('(?<=Public\s).*?(?!(Function|Sub))', flags=re.S)
search_Variable_Public = re.findall(re_Variable_Public, vbacode)
#Globlal variable
re_Variable_Globlal = re.compile('(?<=Globlal\s).*?(?=[\s\n])', flags=re.I)
search_Variable_Globlal = re.findall(re_Variable_Globlal, vbacode)
#Static variable
re_Variable_static = re.compile('(?<=static\s).*?(?=[\s\n])', flags=re.I)
search_Variable_static = re.findall(re_Variable_static, vbacode)
#Set ___ Function(*** As ___)
re_Variable_spe = re.compile('(?<=[,(]).*?(?=\sAs)', flags=re.I)
search_Variable_spe = re.findall(re_Variable_spe, vbacode)
Variable_list = (search_Variable_Dim + search_Variable_static + search_Variable_spe + search_Variable_Globlal + search_Variable_Private + search_Variable_static)

8)dridex

re_dridex_string = re.compile(r'"[0-9A-Za-z]{20,}"')
search_dridex_string = re.findall(re_dridex_string, vbacode)
ShandyLZS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意Office文档检测——OfficeMalScanner
04-01
一款检测恶意Office文档的软件,使用命令行操作
恶意Office文档解析——2. 恶意Office文档工作原理与常见Office文档VBA代码的混淆形式
qq_42855619的博客
07-14 881
恶意Office文档工作原理 Office恶意文档主要通过嵌入文件的形式触发攻击,文件嵌套方式主要有两种:一种是在Office 2007 PK包中嵌入文档;另一种是将攻击文件包装成Rtf富文本格式,再将嵌入文件插入Rtf的/objdata流中。 恶意代码可能经过多级嵌套,常见的攻击形式有:恶意代码实现在本地创建恶意应用程序;跳转至URL下载恶意程序;恶意代码本身包含恶意程序等。 常见Off...
推荐开源项目:VBA混淆
最新发布
gitblog_00059的博客
06-15 435
推荐开源项目:VBA混淆器 项目地址:https://gitcode.com/bonnetn/vba-obfuscator 1、项目介绍 VBA Obfuscator 是一个开源项目,专注于保护Microsoft Word宏中的Visual Basic代码不被反病毒软件检测到。作为一个毕业设计项目,它通过应用一系列的代码变换,使得宏代码在扫描中更难以被识别,从而达到规避签名扫描的目的。 2、项目技...
Macro_Pack中的宏代码混淆方法分析
systemino的博客
08-10 1005
混淆工具 Macro_Pack是一个用于自动化混淆及生成Office文档、VB脚本、快捷方式等文件的工具,其主要用于渗透测试、demo以及社会工程学评估。macro_pack的目标是简化利用流程,反恶意软件绕过,并自动化实现从vba生成到最终Office文档生成的过程。 Github:https://github.com/sevagas/macro_pack。 Macro_Pack分为专业...
re --- 正则表达式操作 — Python 3.10.0a4 文档.pdf
09-03
正则表达式(Regular Expression)是用于处理字符串的强大工具,它在Python中通过`re`模块提供。`re`模块实现了Perl风格的正则表达式操作,支持Unicode字符串和8位字节串。在Python 3.10.0a4版本中,`re`模块提供了...
正则表达式中的 .*? 或 .*+ 的意思
11-20
但在某些正则表达式实现中(如 PCRE 或者 .NET),`*+` 可以明确地表示贪婪行为,避免和非贪婪模式混淆。 在实际应用中,`.*?` 和 `.*` 的选择非常重要,尤其是在处理嵌套结构或需要精确提取信息时。比如,在以下...
nginx location 配置 正则表达式实例详解
01-20
•location 是在 server 块中配置,用来通过匹配接收的uri来实现分类处理不同的请求,如反向代理,取静态文件等 •location 在 server 块中可以有多个,且是有顺序的,会被第一个匹配的 location 处理 •localtion ...
正则表达式高级技巧及实例详解 笨活儿
10-29
正则表达式是一种强大的文本处理工具,用于在字符串中查找、替换或提取特定模式。它通过组合不同的字符和特殊符号创建表达式,以匹配所需的信息。正则表达式在编程语言如PHP中广泛使用,且通常与Perl语言的语法兼容...
Perl语言程序设计:第6章 正则表达式和模式匹配.ppt
09-20
这使得正则表达式可以在字符串中不引起混淆。例如,如果你的模式中包含了斜杠,你可以选择其他定界符来避免转义。 变量可以用于构建动态的正则表达式,如 `$greeting = "World"`,然后在匹配表达式中使用 `$...
VBA excel 工程加密解密器
11-08
VBA 工程加密解密器 各种excel 密码破解,你懂的,嘿嘿……
VBA加密解密器完整版
08-16
【软件工具系列-密码破解】 1)用于破解Excel VBA密码工具,如果想看Excel VBA源代码,这个东西不错 2)一直在用,觉得不错,推荐给大家 3)可加密AutoCAD DVB文件
excel加密工具,隐藏公式,加密VBA代码
09-08
excel加密工具,转化为exe,隐藏公式,加密VBA代码,可编辑、保存,发布无需安装额外软件,保护Excel的首选工具
EvilClippy:用于创建恶意MS Office文档的跨平台助手。 可以隐藏VBA宏,踩VBA代码(通过P代码)并混淆宏分析工具。 在Linux,OSX和Windows上运行
05-24
该工具已在我们的BlackHat Asia演讲中(2019年3月28日)发布。 有关此演讲的视频记录,请访问 。 邪恶的短片 用于创建恶意MS Office文档的跨平台助手。 可以隐藏VBA宏,踩VBA代码(通过P代码)并混淆宏分析工具。 在Linux,OSX和Windows上运行。 如果您不熟悉此工具,则可能需要阅读我们关于Evil Clippy的博客文章开始: : 该项目应仅用于授权测试或教育目的。 当前功能 从GUI编辑器隐藏VBAVBA重踩(滥用P代码) 傻瓜分析师工具 通过HTTP服务VBA重载的模板 设置/删除VBA项目锁定/不可见的保护 如果您不知道所有这些是什么,请首先查看以下资源: 这有多有效? 在撰写本文时,此工具能够获取默认的Cobalt Strike宏,以绕过大多数主要的防病毒产品和各种maldoc分析工具(通过结合使用VBA重踏和随机模块名称)。
vba宏加密
Gblfy_Blog
07-29 1587
教你5步搞定代码混淆
aserbao的博客
04-20 1万+
代码混淆是上线前必不可少的一部分操作,作为一个高逼格程序员,怎么让自己的混淆看起来更专业,更高逼格呢!简单来说,有条理,让人一目了然,当然这是给你同伴看滴,对于那些想要反编译的朋友来说还是越难懂越好咯。不多说,看文档; 分为5部分: =================== 定制化区域================= 1. 实体类区域 项目中的实体类,最好放在一个包下,如果没有也没关系
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
热门推荐
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
30分钟快速入门:正则表达式基础教程
文本格式约定部分为读者提供了清晰的指导,以便在阅读和应用正则表达式时避免混淆。 总结来说,这篇教程不仅适合正则表达式的初学者,也是有经验的开发者的实用参考,通过一步步的教学和实例,帮助读者建立起正则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值