Время на прочтение
4 мин
Количество просмотров 5.9K
Исследуем вредоносный документ с вновь набирающим популярность трояном Emotet.
Основная цель моих статей: предоставить практически полезные способы обнаружения вредоносной активности в файлах, дампах и.т.д, а также поделиться знаниями, на поиск которых, у меня ушло достаточно много времени.
Статья выходит довольно обширная, в связи с этим, будет состоять из двух частей, т.к. здесь я постараюсь доступно изложить исследование вредоносного документа формата Excel (такие документы сегодня используются в фишинговых кампаниях по всему миру для заражения трояном Emotet), а после исследования вредоносного документа решим задание от cyberdefenders.org, в котором нам предложат поковырять дамп оперативной памяти, с уже зараженного хоста, давайте приступать.
Автор не несёт ответственности в случае заражения вашего компьютера вредоносным ПО и крайне не рекомендует выполнять исследования на компьютерах, где есть важная информация и неконтролируемое подключение к локальной сети и сети интернет.
Часть 1.
Практиковаться будем на довольно свежем сэмпле от 03.11.2022г., который загрузим c https://bazaar.abuse.ch/.(рисунок 1).
По статистике мы видим, что количество сэмплов, связанных с данным вредоносом особенно выросло в последнее время.
Итак, давайте начнем исследование. Будем проводить работу, используя образ REMnux, т.к. данный образ уже содержит много полезных утилит и изолированную ОС Windows 10 с предустановленным MS Office.
Распакуем файл и воспользуемся утилитами для исследования MS Office документов из пакета oletools от Didier Stevens. Утилита oileid показывает, что в файле содержится только XLM Macros (Рисунок 3)
Olevba дает нам более полную картину (рисунок 4) и показывает, что есть функция Auto_Open типа AutoExec, это означает, что код функции выполняется сразу после открытия документа. Также есть «подозрительные» слова: Hex, Windows etc.
Часто во вредоносных файлах попадаются слова: xor, base64, shell и другие.
Не будем оставлять без внимания и информацию выше от olevba (до таблицы на Рисунке 4), в которой видно, что 6 листов (sheet) скрыты от глаз любопытных пользователей, т.е. имеют атрибут hidden.
Еще обратим внимание, что содержимое листов 1-5 собирается в G13 на 6 листе в формуле (рисунок 6). Вся эта информация нам понадобится.
Напоследок, давайте пройдемся утилитой strings, возможно нам удастся найти что-нибудь интересное сразу? (Рисунок 7)
strings -a Emotet.xls
Мы видим популярную функцию URLDownloadToFile (Win API) для загрузки файлов со сторонних ресурсов и сами ресурсы. (метод strings далеко не всегда работает, т.к. зачастую приходится прежде деобфусцировать код, а иногда и расшифровать перед анализом).
Пришла пора идти в Windows (рисунок 8). Здесь мы наблюдаем самую обычную картинку от злоумышленников, с просьбой разместить файл по определенному пути (разумеется, это не предупреждение от MS Office), крайне рекомендую при открытии файлов внимательно изучать текст ошибок (если такие будут), ведь зачастую это просто VBA макросы или другие трюки, а не настоящие ошибки от MS Office или Windows, и злоумышленники умудряются там допускать грамматические ошибки и совершать опечатки (человеческий фактор). В будущих статьях с разбором фишинга у некоторых APT группировок это проявляется, подробно опишу как это выглядит.
Следующим этапом давайте сделаем видимыми остальные листы с 1 по 6: ПКМ sheet -> «Show».(рис 9)
На каждом из 6 скрытых листов установлен пароль, чтобы его снять, перейдём в режим разработчика Alt+F11, ctrl +G (внизу появится окно Immediate) и ПКМ на листе с паролем -> Insert Module и вводим код для брутфорса пароля от листа (ниже):
Sub PasswordBreaker()
'Breaks worksheet password protection.
Dim i As Integer, j As Integer, k As Integer
Dim l As Integer, m As Integer, n As Integer
Dim i1 As Integer, i2 As Integer, i3 As Integer
Dim i4 As Integer, i5 As Integer, i6 As Integer
Dim Str As String
On Error Resume Next
For i = 65 To 66: For j = 65 To 66: For k = 65 To 66
For l = 65 To 66: For m = 65 To 66: For i1 = 65 To 66
For i2 = 65 To 66: For i3 = 65 To 66: For i4 = 65 To 66
For i5 = 65 To 66: For i6 = 65 To 66: For n = 32 To 126
ActiveSheet.Unprotect Chr(i) & Chr(j) & Chr(k) & _
Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & _
Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
If ActiveSheet.ProtectContents = False Then
Str = Chr(i) & Chr(j) & Chr(k) & Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
Debug.Print Str
Exit Sub
End If
Next: Next: Next: Next: Next: Next
Next: Next: Next: Next: Next: Next
End Sub
Исполняем код (F5) и в окне Immediate наблюдаем пароль от листа на рисунке 10.
К остальным 5 листам пароль подходит: ПКМ -> снять защиту – вводим пароль и наблюдаем с виду чистые листы, но выделив содержимое: ctrl +A и изменив цвет шрифта на черный увидим текст разбросанный по листам и ячейкам.
Внимательный читатель наверняка помнит, что на 6 листе в ячейке G13 (рисунок 6 данной статьи) всё добро собирается воедино, следовательно там будем смотреть. Для этого развернём свернутый столбец G на рисунке 11.
Как мы видим здесь код, необходимый для загрузки вредоносного ПО на хост со сторонних вредоносных ресурсов.
И запуска ВПО в режиме silence — regsrv32.exe /S из директории выше :
=EXEC(«C:WindowsSystem32regsvr32.exe /S ..oxnvN.ooccxx»)
Мы рассмотрели интересный и довольно простой способ сокрытия данных при заражении вредоносным ПО и нашли некоторые IoC’и. В других статьях познакомимся с куда более интересными методами, которые используют иностранные APT группировки для обфускации кода и доставки вредоносных файлов.
С другими опубликованными статьями и WriteUp’ами можно ознакомиться здесь.
Во второй части статьи попрактикуемся на примере расследования инцидента в дампе оперативной памяти, зараженного трояном Emotet от cyberdefenders.org, речь пойдет о скрытых процессах и их поиске.
Excel для Microsoft 365 Word для Microsoft 365 PowerPoint для Microsoft 365 Excel 2021 Word 2021 PowerPoint 2021 Visio профессиональный 2021 Visio стандартный 2021 Excel 2019 Word 2019 PowerPoint 2019 Visio профессиональный 2019 Visio стандартный 2019 Excel 2016 Word 2016 PowerPoint 2016 Visio профессиональный 2016 Visio стандартный 2016 Excel 2013 Word 2013 PowerPoint 2013 Visio профессиональный 2013 Visio 2013 Excel 2010 Word 2010 PowerPoint 2010 Visio премиум 2010 Visio 2010 Visio стандартный 2010 Еще…Меньше
Вирус макроса — это тип компьютерного вируса, который может храниться в макросах в файлеMicrosoft 365 (например, в документе, презентации, книге или шаблоне) или в любом элементе activeX, надстройке COM илиMicrosoft 365 надстройке. Мы называем макросы, элементы ActiveX и надстройки активным содержимым.
Microsoft 365, в которых есть макрос, имеют другое расширение файла, указывающее, что у них есть внедренный макрос. Например, обычный современный документ Word — это .DOCX, но если макрос добавляется в файл, он сохраняется как . DOCM-файл.
Аналогичным образом, современная книга Excel является файлом .XLSX, а современная презентация PowerPoint — PPTX-файлом, но если в них есть макросы, файл Excel становится файлом . XLSM-файл и презентация PowerPoint становятся . PPTM-файл.
Для защитыMicrosoft 365 не выполняет активное содержимое, например макросы, автоматически, если файл не помечен как доверенный документ или не открыт из надежного расположения. Обычно не требуется запускать макрос, если вам нужно только просмотреть содержимое файла или внести в него простые изменения.
Примечания:
-
Дополнительные сведения о доверенных документах см. в разделе «Доверенные документы».
-
Дополнительные сведения о надежных расположениях см. в статье «Добавление, удаление или изменение надежного расположения».
В более ранних версиях Office может появиться сообщение, которое выглядит следующим образом:
Не следует выбирать параметр « Включить содержимое», если вы точно знаете, что именно делает это активное содержимое, даже если файл является доверенным пользователем или организацией.
Microsoft 365 не может проверять файлы или расположения для поиска и удаления вирусов макросов, однако все современные антивредоносные программы, такие как антивирусная программа в Microsoft Defender, должны иметь возможность обнаруживать и блокировать известные вирусы макросов.
См. также
Включение и отключение макросов в файлах Office
Изменение параметров безопасности макросов в Excel
Нужна дополнительная помощь?
|
skif Пользователь Сообщений: 60 |
Возможно ли заражение компа через Excel файл. Если да, то как противостоять. (например загрузка прайс листа, злой шутки с данного сайта и прочих мест к которым осталось доверие) |
|
vikttur Пользователь Сообщений: 47199 |
Предохраняться Не знаю, что Вы подумали, я предлагаю низкий уровень безопасности в Excel, чтобы макросы не запускались. |
|
skif Пользователь Сообщений: 60 |
да, подумал я конечно в виду своей испорченности. |
|
KuklP Пользователь Сообщений: 14868 E-mail и реквизиты в профиле. |
При низком, макросы наоборот будут запускаться и без запроса. Антивирусное ПО с эвристическими функциями прекрасно с этим справляется. Еще поставить средний уровень безопасности(у меня всегда стоит). Скажем, прайсам макросы ни к чему — при загрузке запрещаем и т.д. 14147 Я сам — дурнее всякого примера! … |
|
{quote}{login=vikttur}{date=26.10.2010 05:17}{thema=}{post}Предохраняться |
|
|
> Антивирусное ПО с эвристическими функциями прекрасно с этим справляется. С вирусом-макросом, который хочет рассадить себя в другие файлы — наверно, да, можно отследить по обращению к объекту VBProject. Об этом у Пирсона написано: http://www.cpearson.com/excel/vbe.aspx А вот со зловредным макросом, который поудаляет все файлы в %userprofile% — вряд ли |
|
|
KuklP Пользователь Сообщений: 14868 E-mail и реквизиты в профиле. |
Леш, не так страшен вирь… Из-за своей сути. Задача виря прежде всего не нанести зловредное действие(если это не направленная атака, но тогда это уже не вирь, а просто именнованная пакость), а распространиться как можно больше. Иногда этим и исчерпывается весь злой вред, так было с нашумевшим скриптом «i Love You», я его себе специально скачивал для анализа и не только его. Другое дело полиморфные вирусы, скрывающие и маскирующие себя. Но тут уж экс ни при чем. Могут заражать любой файл. Я сам — дурнее всякого примера! … |
|
Все может быть — в конце третьего сезона сериала «Эврика» компьютерные вирусы передавались через взгляд людям |
|
|
vikttur Пользователь Сообщений: 47199 |
{quote}{login=vikttur}{date=26.10.2010 05:17}{thema=}{post}…я предлагаю низкий уровень безопасности в Excel, чтобы макросы не запускались.{/post}{/quote} |
|
слэн  Пользователь Сообщений: 5192 |
вот что значит генномодифицированные люди с расширением диапазона зрения в радиочастоты — через wifi заражаются |
|
skif Пользователь Сообщений: 60 |
Спасибо всем откликнувшимся. Вопрос был задан неспрота. 1. на работе проводился тест на компьютерную грамотность и в частности на безопасность от вирусов. Так вот вопрос был 2. Регистрация на этом форуме условная( не в обиду кому либо ). Следовательно, «Злодей» «непризнанный гений» может зарегистрироваться под похожим ником и аватаркой например vikttvr и все кто доверяет прикрепленным файлам от vikttur разрешит не отклучать макросы. Следовательно что-то пойдет в вашем ёкселе не так. |
и то пока. :-)) |
Hugo Пользователь Сообщений: 23253 |
В Ворде тоже макросы есть… |
|
Hugo Пользователь Сообщений: 23253 |
Так что единственный путь — ввод с клавиатуры, но тоже сильно зависит от квалификации юзера. Можно ведь и format c:/ кое-где набрать (не уверен, что правильно написал, практики нет |
|
Возможности VBA в Word Excel одинаковы. > Следовательно, «Злодей» «непризнанный гений» может зарегистрироваться под похожим ником и аватаркой например vikttvr… |
|
|
слэн Пользователь Сообщений: 5192 |
{quote}{login=skif}{date=29.10.2010 10:06}{thema=}{post}Спасибо всем откликнувшимся. Вопрос был задан неспрота. 1. на работе проводился тест на компьютерную грамотность и в частности на безопасность от вирусов. Так вот вопрос был 2. Регистрация на этом форуме условная( не в обиду кому либо ). Следовательно, «Злодей» «непризнанный гений» может зарегистрироваться под похожим ником и аватаркой например vikttvr и все кто доверяет прикрепленным файлам от vikttur разрешит не отклучать макросы. Следовательно что-то пойдет в вашем ёкселе не так. если у вас нет дисковода(и флешки) и сети (и никогда не было), то файлы, созданные в ms ofice, не приведут к заражению вирусом(если только вирусописатель не сидит за вашим компьютером) |
|
skif Пользователь Сообщений: 60 |
Я прошу прощения за свою серость. Я понимаю так, что при скачивании неизвестного файла excel и разрешении не отключать макросы, гипотетически при открытии книги excel возможен запуск макроса как то влияющего на безопасность. (автомотические запросы, гипперссылки на «вредные сайты» и «прочие прелести») Если я в корне не прав, то поправьте. |
|
слэн Пользователь Сообщений: 5192 |
конечно.. даже название у них есть — макровирусы.. |
|
Hugo Пользователь Сообщений: 23253 |
Ну вот, теперь после этого страшного слова нам, макрописцам, тут делать нечего — число макрофобов возрастёт на порядок. А то и на два |
|
skif Пользователь Сообщений: 60 |
ВСЕМ СПАСИБО за ответы. будем сообща бороться с возможными «злодеями». желаю всем удачи и упехов. |
|
vikttur Пользователь Сообщений: 47199 |
{quote}{login=Hugo}{date=29.10.2010 03:10}{thema=}{post}Ну вот, теперь после этого страшного слова нам, макрописцам, тут делать нечего — число макрофобов возрастёт на порядок. А то и на два :){/post}{/quote} |
|
kim  Пользователь Сообщений: 3139 Игорь |
{quote}{login=vikttur}{date=30.10.2010 12:07}{thema=Re: }{post}{quote}{login=Hugo}{date=29.10.2010 03:10}{thema=}{post}Ну вот, теперь после этого страшного слова нам, макрописцам, тут делать нечего — число макрофобов возрастёт на порядок. А то и на два :){/post}{/quote} |
|
Serge  Пользователь Сообщений: 11308 |
{quote}{login=Hugo}{date=29.10.2010 03:10}{thema=}{post}Ну вот, теперь после этого страшного слова нам, макрописцам, тут делать нечего — число макрофобов возрастёт на порядок.{/post}{/quote}На паре форумов отсутствие вирусов в файлах прописано в правилах. Но думаю здесь это не пропрёт, так как файл может выложить любой, даже аноним |
|
Serge Пользователь Сообщений: 11308 |
#23 30.10.2010 01:04:48 {quote}{login=KL}{date=26.10.2010 10:56}{thema=}{post}Все может быть — в конце третьего сезона сериала «Эврика» компьютерные вирусы передавались через взгляд людям :){/post}{/quote} Как думаете — доживём мы до таких вирусов? <#0> |
Макровирус – это вредоносная программа, которая может заразить любое программное обеспечение, написанное на макроязыке, среди которых такие программы Microsoft Office, как Word и Excel . Макро-вирус использует преимущества макросов, которые запускаются в приложениях Microsoft Office. Самый простой способ защитить себя от этой формы вредоносного ПО – отключить макросы в программах Office.
Вредоносные программы на основе макросов вернулись и снова стали популярными. Поэтому корпорация Майкрософт выпустила новое обновление групповой политики для всех клиентов Office 2016 в сети, которое блокирует загрузку исходных макросов из Интернета в сценариях с высоким риском и, таким образом, помогает администраторам предприятия предотвращать риск макросов.
Если значок файла изменился, или вы не можете сохранить документ, или в вашем списке макросов появляются новые макросы, вы можете предположить, что ваши документы были заражены макровирусом.
Если вы используете хорошее защитное программное обеспечение, шансы получить макровирус минимальны, если только вы не нажмете на зараженный документ или файл. Таким образом, если в результате неудачного поворота событий ваш компьютер Windows заразится макровирусом, то, выполнив эти шаги по удалению макровируса, вы сможете избавиться от вредоносного ПО.
Содержание
- Запустить антивирусное сканирование
- Ремонт офиса
- Удалить макровирус в Word вручную
- Удаление макровируса в Excel
Запустить антивирусное сканирование
В настоящее время все популярные антивирусные программы способны выявлять и удалять макровирус. Таким образом, выполнение глубокого сканирования с помощью программного обеспечения безопасности обязательно полностью удалит макровирус.
Ремонт офиса
Если вы обнаружите, что установка Office не работает нормально, после удаления макровируса вам может потребоваться восстановить Office.
Удалить макровирус в Word вручную
Если вы подозреваете, что ваша программа Word была заражена макро-вирусом, сначала нажмите клавишу Shift , а затем значок, чтобы открыть файл. Это откроет файл Word в безопасном режиме, что предотвратит запуск автоматических макросов и, следовательно, не позволит запустить макровирус. Теперь следуйте инструкциям, изложенным в KB181079. Статья KB может быть устаревшей, но она покажет вам направление работы.
Удаление макровируса в Excel
Макро-вирусы PLDT/CAR/SGV могут заражать документы Excel. Инструкции, написанные в KB176807, могут показать вам направление работы, если вам нужно удалить макровирус вручную.
Это руководство по удалению вредоносных программ содержит общие советы, которые могут помочь вам удалить вирус с компьютера Windows.
Сумасшедший лягушка — Аксель F (Официальное видео)
A Макро-вирус — это вредоносное ПО, которое может заражать любое программное обеспечение, написанное на макроязыке, среди которых такие программы Microsoft Office, как Слово и Excel . Макро-вирус использует макросы, которые запускаются в приложениях Microsoft Office. Самый простой способ защитить себя от этой формы вредоносного ПО — это отключить макросы в программах Office.
Макро-вредоносная программа сделала возврат и снова стала расти. Поэтому Microsoft выпустила новое обновление групповой политики для всех клиентов Office 2016 в сети, которое блокирует макросы, возникающие в Интернете, от загрузки, в сценариях с высоким уровнем риска и, таким образом, помогает администраторам предприятия предотвращать риск макросов.
Если значок файла изменилось, или вы не можете сохранить документ или новые макросы в вашем списке макросов, тогда вы можете предположить, что ваши документы были заражены макровирусом.
Если вы используете хорошее программное обеспечение безопасности, шансы вашего получения макровируса минимальны, если вы на самом деле не нажмете на зараженный документ или файл. Таким образом, если в результате неудачного поворота событий ваш компьютер Windows должен был заразиться вирусом Macro, то, выполнив эти шаги по удалению макросов, вы сможете избавиться от вредоносного ПО.
Запустить антивирусную проверку
В наше время все популярные антивирусные программы способны идентифицировать и удалять макро вирусы. Таким образом, при глубоком сканировании с вашим программным обеспечением безопасности обязательно полностью удалите макро вирусы.
Repair Office
Если вы обнаружите, что ваша установка Office не работает нормально, после удаления макровируса вам может потребоваться ремонт Office.
Удалить макросовый вирус в Word вручную
Если вы подозреваете, что ваша программа Word была заражена вирусом Macro, сначала нажмите клавишу Shift , а затем значок, чтобы открыть файл. Это откроет файл Word в безопасном режиме, что предотвратит запуск автоматических макросов и, следовательно, не позволит запустить макровирус. Теперь выполните шаги, изложенные в KB181079. Статья в KB может быть устаревшей, но она показывает вам направление работы.
Удаление макросов в Excel
Макро-вирусы PLDT / CAR / SGV могут заражать документы Excel. Инструкции, написанные в KB176807, могут показать вам направление работы, если вам нужно вручную удалить макровирус.
В этом руководстве по удалению вредоносных программ есть общие советы, которые могут помочь вам удалить вирус с вашего компьютера под управлением Windows.
Удалить или вручную удалить профиль сети WiFi в Windows 10 / 8.1
В этой статье вы узнаете, как полностью удалить непригодные сетевые профили WiFi из ваших систем Windows 10/8 с помощью командной строки и реестра.
Удалить или удалить Internet Explorer из Windows
Теперь Microsoft позволяет вам удалять Internet Explorer из Windows 10/8/7 без нарушая любые другие функции операционной системы, которые зависят от нее. Прочитайте это сообщение, чтобы узнать, как удалить Internet Explorer.
Вместо того, чтобы нажимать на несколько кнопок для добавления различные форматы Word и Excel, запишите макрос, добавьте его в панель быстрого доступа и используйте его для выполнения.