RECHNUNG_vom_18122014.doc https://www.virustotal.com/en/file/d3672a6b3bc839d76b1d4c2e98ab8c3ef84cb9e928fc3cadad3f4144aa5f8e29/analysis/是一个含有恶意VBA宏用来提取创建一个exe的word文档。本文主要用来介绍oledump如何工作
首先看一下数据流(我把word文档使用密码加密zip,用来绕过AV,oledump可以处理这类文件)
Stream 7含有VBA宏,来查看一下:
当文档打开的时候,Subroutine v45自动执行。它会创建一个临时文件,搜索word文件中ActiveDocument.Range.Text里面的"1234",然后把1234后面的加密bytes写到磁盘,然后执行。
如果查看stream 14来检查内容,将会看到:
1234后面将会看到&H4d&H5a&h90…
&Hxx是VBA中十六进制的语法。我们可以使用解码器进行转换。解码器(python)使用正则搜索&Hxx,把xx转换成字符把他们连接成字符串。
#!/usr/bin/env python __description__ = '&H decoder for oledump.py' __author__ = 'Didier Stevens' __version__ = '0.0.1' __date__ = '2014/12/19' """ Source code put in public domain by Didier Stevens, no Copyright https://DidierStevens.com Use at your own risk History: 2014/12/19: start Todo: """ import re class cAmpersandHexDecoder(cDecoderParent): name = '&H decoder' def __init__(self, stream, options): self.stream = stream self.options = options self.done = False def Available(self): return not self.done def Decode(self): decoded = ''.join([chr(int(s[2:], 16)) for s in re.compile('&H[0-9a-f]{2}', re.IGNORECASE).findall(self.stream)]) self.name = '&H decoder' self.done = True return decoded def Name(self): return self.name AddDecoder(cAmpersandHexDecoder)
使用下面的命令来调用解码器分析嵌入的文件:
引用
oledump.py -s 14 -D decoder_ah.py RECHNUNG_vom_18122014.doc.zip
根据MZ和PE头,可以识别它是一个PE文件,我们可以使用pecheck来检查
引用
oledump.py -s 14 -D decoder_ah.py -d RECHNUNG_vom_18122014.doc.zip | pecheck.py
pecheck介绍: http://blog.didierstevens.com/2013/04/19/3462/
下载地址: http://didierstevens.com/files/software/pecheck_v0_3_0.zip