Escenario
Es común que los actores de amenazas utilicen técnicas de living off the land (LOTL), como la ejecución de PowerShell para promover sus ataques y la transición desde el código de macro. Este desafío tiene como objetivo mostrar cómo muchas veces puede realizar un análisis rápido para extraer IOC importantes. El enfoque de este ejercicio está en las técnicas estáticas para el análisis.
Varios
flujos contienen macros en este documento. Proporcione el número más alto.
El número más alto que contienen macros en este documento es el flujo 16. La evidencia se obtuvo utilizando la herramienta oledump. Con elsiguiente comando: oledump.py sample.bin
El evento que se utiliza para la ejecución de la macro es: Document_open es un evento de tipo AutoExe (Auto ejecución). La evidencia se obtuvo con la herramienta olevba.
¿Qué flujo es responsable del almacenamiento de la cadena codificada en base64?
El flujo responsable del almacenamiento de la cadena codificada en base64 es el flujo número 34. La evidencia se obtuvo utilizando la herramienta olevba y oledump.
Este documento contiene una cadena codificada en base64 ofuscada; ¿qué valor se utiliza para rellenar (u ofuscar) esta cadena?
El valor que se utiliza para ofuscar la cadena es 2342772g3&*gs7712ffvs626fq. Esta evidencia se obtuvo al analizar el código de las macros incrustada en el documento.
El programa que ejecuta la cadena codificada en base64 es powershell. La evidencia se obtuvo utilizando la herramienta oledump -s 15 -S sample.bin y utilizando el comando sed -i 's/2342772g3&\*gs7712ffvs626fq//g' s34 de Linux.
La clase WMI que utiliza para crear el proceso para lanzar el troyano es win32_Process
La evidencia se obtuvo ejecutando el documento en una sandbox en este caso ANYRUN, para obtener el dominio de descarga.
Comentarios
Publicar un comentario