Cyberdefenders Práctica XLM Macros, Josh Stroschein - Digital Forensics

 

Escenario

Recientemente, hemos visto un resurgimiento de documentos de oficina maliciosos basados en Excel. Sin embargo, en lugar de utilizar macros de estilo VBA, están utilizando macros de Excel 4 de estilo antiguo. Esto cambia nuestro enfoque para analizar estos documentos, requiriendo un conjunto ligeramente diferente de herramientas. En este desafío, se pondrá manos a la obra con dos documentos que utilizan macros de Excel 4.0 para realizar el antianálisis y descargar la siguiente fase del ataque.

Preguntas

Sample1: ¿Cuál es la contraseña de descifrado del documento?

La contraseña del documento cifrado es VelvetSweatshop. Esta evidencia se obtuvo con las herramientas oleid y msoffcrypto-crack.

Con la herramienta oleid obtuvimos algunos indicadores de la presencia de macros de tipo XLM y encriptación de archivo .

Luego con la herramienta msoffcrypto-crack obtuvimos la contraseña de cifrado.

Sample1: Este documento contiene seis hojas ocultas. ¿Cuáles son sus nombres? Proporcione el valor de la que comienza con S.

La Hoja que comienza con la letra “S“es SOCWNEScLLxkLhtJp. La información se obtuvo con la herramienta olevba, con el siguiente comando: olevba sample1-fb5ed444ddc37d748639f624397cff2a.bin | grep SHEET.

Sample1: ¿Qué URL usa el malware para descargar la siguiente etapa? Solo incluya el dominio de segundo nivel y de nivel superior. Por ejemplo, xyz.com.

La URL que usa el malware para descargar la siguiente etapa es http://rilaer.com. La evidencia se obtuvo con la herramienta olevba.

Sample1: ¿Qué familia de malware intentaba eliminar este documento?

La familia de malware que intenta eliminar el documento es Dridex es un tipo de malware especializado en el robo de credenciales bancarias. La evidencia se obtuvo al analizar la URL de descarga del malware http://rilaer.com.

Sample2: Este documento tiene una hoja muy escondida. ¿Cuál es el nombre de esta hoja?

El nombre de la hoja es CSHykdYHvi. Se obtuvo la información con la herramienta olevba.

Sample2: Este documento utiliza reg.exe. ¿Qué clave de registro está comprobando?

El documento está comprobando la clave de registro VBAWarnings se obtuvo la información con la herramienta olevba.

Sample2: A partir del uso de reg.exe, ¿qué valor de la clave evaluada indica un entorno de espacio aislado?

Cuando la clave se establece en 1, todas las macros de VBA están habilitadas, este valor generalmente se establece en un entorno de espacio aislado. Por lo tanto, si el valor de VBAWarnings se estable a 0x1 significa que todas las macros están habilitadas.

Sample2: Este documento realiza varias comprobaciones antianálisis adicionales. ¿Qué función de macro de Excel 4 utiliza?

La función de macro de Excel 4 que utiliza el documento es GET.WORKSPACE. La información se obtuvo con la herramienta olevba.

Sample2: Este documento comprueba el nombre del entorno en el que se está ejecutando Excel. ¿Qué valor utiliza para comparar?

El documento utiliza el valor “Windows” se puedo obtener esta información con la herramienta olevba.

Sample2: ¿Qué tipo de carga útil se descarga?

El nombre del archivo de la carga útil es bmjn5ef.html.

Sample2: ¿Cómo se ejecuta la carga útil? Por ejemplo, mshta.exe

La carga útil se ejecuta con rundll32.exe.

Sample2: ¿Cuál era la familia del malware?

La familia del malware es zloader, es una variante del malware Zeus cuyo objetivo es el robo de credenciales bancarias. La información se obtuvo al enviar el archivo a la plataforma VirusTotal.