Tout d’abord comment savoir qu’il s’agit d’un document Office ?<\/p>\n\n\n\n
Le plus simple est d’utiliser la commande file sous Linux (il existe m\u00eame une version compil\u00e9e pour Windows), \u00e0 d\u00e9faut vous pouvez ouvrir le fichier dans un \u00e9diteur hexad\u00e9cimal et comparer les premi\u00e8res valeurs avec ce tableau (document de r\u00e9f\u00e9rence, https:\/\/www.sstic.org\/media\/SSTIC2021\/SSTIC-actes\/oletools\/SSTIC2021-Slides-oletools-lagadec.pdf<\/a>)<\/p>\n\n\n\n Dans notre cas on a ceci :<\/p>\n\n\n\n <\/p>\n\n\n\n C’est un fichier OLE (Word\/Excel\/PPT 97).<\/p>\n\n\n\n S’agissant d’un fichier OLE, je vous conseille l’outil \u00ab\u00a0olevba\u00a0\u00bb (https:\/\/github.com\/decalage2\/oletools) qui va nous \u00eatre d’une grande aide pour d\u00e9sosser ce fichier \u00e0 la recherche des macros et mots-clefs suspicieux sans pour autant l’ex\u00e9cuter.<\/p>\n\n\n\n Voici les \u00e9l\u00e9ments le plus int\u00e9ressant relev\u00e9s par olevba, \u00e0 la lecture du code des macros il semble y avoir :<\/p>\n\n\n\n On peut confirmer cette hypoth\u00e8se en ex\u00e9cutant la macro dans une sandbox (en local ou sur Internet), dans un Word en vrai mais en mode debug (little dangerous) ou bien via un parseur et \u00e9mulateur de code VBA (pas besoin de Word dans ce cas), par exemple avec ViperMonkey (https:\/\/github.com\/decalage2\/ViperMonkey<\/a>)<\/p>\n\n\n\n Testons donc avec ViperMonkey (dans mon cas il tourne dans un container docker) :<\/p>\n\n\n\n On voit bien dans le flot d’ex\u00e9cution le drop d’un fichier (\u00ab\u00a0Dropped File Hash\u00a0\u00bb).<\/p>\n\n\n\n On va maintenant s’int\u00e9resser \u00e0 ce fichier dropp\u00e9, le fichier maintool.js.<\/p>\n\n\n\n Pour le r\u00e9cup\u00e9rer j’ai choisi la m\u00e9thode via la sanbox sur Internet via \u00ab\u00a0App Any Run\u00a0\u00bb, en voici une ex\u00e9cution (https:\/\/app.any.run\/tasks\/5840a1fa-9ad9-4c9e-963a-7bc5b6fa3eff\/<\/a>) <\/p>\n\n\n\n On voit \u00e0 droite l’ex\u00e9cution du fichier js via la commande native Windows WScript.exe.<\/p>\n\n\n\n Pour r\u00e9cup\u00e9rer le fichier maintool.js, il suffit de cliquer sur \u00ab\u00a0More Info\u00a0\u00bb puis \u00ab\u00a0Download\u00a0\u00bb (il vous faut un compte) :<\/p>\n\n\n\n Le fichier js est compress\u00e9 dans un zip avec un mot de passe (\u00ab\u00a0infected\u00a0\u00bb).<\/p>\n\n\n\n Comme d’habitude les fichier js sont obfusqu\u00e9s :<\/p>\n\n\n\n Dans un premier temps on va arranger tout \u00e7a (au sens faciliter la lecture du code) avec CyberChef et son Javascript Beautify : (https:\/\/gchq.github.io\/CyberChef\/#recipe=JavaScript_Beautify(‘%5C%5Ct’,’Auto’,true,true<\/a>) :<\/p>\n\n\n\n On voit que ce Javascript a besoin d’un argument, s\u00fbrement la clef pour d\u00e9coder\/d\u00e9chiffrer le vrai code malveillant.<\/p>\n\n\n\n J’ai donc remplacer la variable ssWZ par la valeur vu au d\u00e9but avec olevba (EzZETcSXyKAdF_e5I2i1<\/span>) et j’ai remplac\u00e9 l’appel \u00e0 la fonction eval() par une sortie console via WScript.Echo :<\/p>\n\n\n\n Maintenant je n’ai plus qu’\u00e0 lancer l’ex\u00e9cution avec cscript.exe sans grand risque (plus d’eval) afin de r\u00e9cup\u00e9rer le code d\u00e9sofusqu\u00e9 :<\/p>\n\n\n\n Les choses sont plus claires maintenant, on voit les URL cibles, les commandes ex\u00e9cut\u00e9es, les net view\/share\/add administrator, etc…<\/p>\n","protected":false},"excerpt":{"rendered":" Dans le cadre d’un CTF, j’ai eu \u00e0 analyser un \u00ab\u00a0maldoc\u00a0\u00bb, un document Word malveillant. Vous pouvez t\u00e9l\u00e9charger ce maldoc \u00ab\u00a049b367ac261a722a7c2bbbc328c32545\u00a0\u00bb sur le (tr\u00e8s bon) site : https:\/\/cyberdefenders.org\/labs\/76 Tout d’abord comment savoir qu’il s’agit d’un document Office ? Le plus simple est d’utiliser la commande file sous Linux (il existe m\u00eame une version compil\u00e9e pour … Continuer la lecture de Analyse d’un maldoc Word<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-919","post","type-post","status-publish","format-standard","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=919"}],"version-history":[{"count":4,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/919\/revisions"}],"predecessor-version":[{"id":938,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/919\/revisions\/938"}],"wp:attachment":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/image-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/image-2.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/Capture.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/Capture2.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/Capture3.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/Capture-decran-du-2021-11-05-13-45-35.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/Capture-decran-du-2021-11-05-13-44-43.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/image-4.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/image-5.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/Capture-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/image-6.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/image-7.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2021\/11\/image-8.png\")
<\/figure>\n\n\n\n