{"id":940,"date":"2022-02-05T17:47:01","date_gmt":"2022-02-05T16:47:01","guid":{"rendered":"https:\/\/pentester.blog\/?p=940"},"modified":"2022-02-06T10:43:24","modified_gmt":"2022-02-06T09:43:24","slug":"analyse-dun-maldoc-excel-xlsb","status":"publish","type":"post","link":"https:\/\/hacktarus.fr\/?p=940","title":{"rendered":"Analyse d’un maldoc Excel (XLSB)"},"content":{"rendered":"\n

Ce qu’il y a de bien avec les antispams c’est qu’on n’a plus besoin d’aller rechercher des malwares sur Internet pour les analyser, on en trouve plein tous les jours dans les quarantaines.<\/p>\n\n\n\n

Il y a quelques jours un fichier a attir\u00e9 mon attention car c’est une extension pas tr\u00e8s r\u00e9pandu, un fichier Excel au format XLSB :<\/p>\n\n\n\n

Tiens c’est quoi ce truc, ce n’est pas un xlsx, ni un xlsm, ni un xslt mais un xlsb ?<\/p>\n\n\n\n

En fait le b c’est pour binary et \u00e7a change pas mal de choses.<\/p>\n\n\n\n

Je sais que ce fichier est malveillant car il est largement d\u00e9tect\u00e9 sur VirusTotal mais \u00e9tonnamment les outils d’analyse de fichiers Office ne d\u00e9tectent rien d’anormal, pas d’OLE, pas de macros.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Au niveau du format de fichier on voit qu’il s’agit d’un Open XML.<\/p>\n\n\n\n

En fait il suffit de renommer l’extension xlsb en zip et de d\u00e9zipper pour comprendre qu’on a bien \u00e0 faire \u00e0 des fichiers binaires :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Bon, \u00e0 ce moment l\u00e0 je me d\u00e9cide d’ouvrir le fichier et j’y d\u00e9couvre une seule feuille avec l’habituel message implorant l’utilisateur \u00e0 activer les macros :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Bon en fait ce fichier Excel ne contient pas qu’une seule feuille Excel mais un tas d’autres, il suffit d’afficher les feuilles masqu\u00e9es :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Et l\u00e0 mauvaise surprise les feuilles sont vierges :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Bon en fait c’est juste une ruse, les cellules contiennent bien du code mais c’est \u00e9crit en blanc sur blanc donc on n’y voit rien, il suffit de changer la couleur du texte, en rouge par exemple pour faire appara\u00eetre le code :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Bon maintenant rien qu’avec cette ligne on comprend mieux ce qui se passe :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Un fichier OCX est d\u00e9pos\u00e9 dans ProgramData et ensuite regsvr32 se charge de l’enregistrer.<\/p>\n\n\n\n

Petit rappel sur regvr32.exe qui est une vrai plaie car il permet d’ex\u00e9cuter du code natif, des scriptlets (objets COM de type Javascript) en local, \u00e0 partir d’une URL distante et se permet le luxe de contourner des solutions comme AppLocker \ud83d\ude41<\/p>\n\n\n\n

Petit exemple avec une scriptlet qui lance un Powershell depuis du Javascript :<\/p>\n\n\n\n

regsvr32 \/u \/s \/n \/i:stuff.txt scrobj.dll<\/code><\/pre>\n\n\n\n
stuff.txt :<\/p>\n\n\n\n
<?XML version=\"1.0\"?>\n<scriptlet>\n<registration\nprogid=\"Pentest\"\nclassid=\"{10001111-0000-0000-0000-0000FEEDACDC}\" >\n<script language=\"JScript\">\n<![CDATA[\nvar r = new ActiveXObject(\"WScript.Shell\").Run(\"powershell -noe -nop -c write-host Boo!\");\n]]>\n<\/script>\n<\/registration>\n<\/scriptlet><\/code><\/pre>\n\n\n\n
\"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"
Ce qu’il y a de bien avec les antispams c’est qu’on n’a plus besoin d’aller rechercher des malwares sur Internet pour les analyser, on en trouve plein tous les jours dans les quarantaines. Il y a quelques jours un fichier a attir\u00e9 mon attention car c’est une extension pas tr\u00e8s r\u00e9pandu, un fichier Excel au … Continuer la lecture de Analyse d’un maldoc Excel (XLSB)<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-940","post","type-post","status-publish","format-standard","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/940","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=940"}],"version-history":[{"count":9,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/940\/revisions"}],"predecessor-version":[{"id":960,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/940\/revisions\/960"}],"wp:attachment":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=940"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=940"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=940"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}