分析单字节XOR的Word宏病毒文档

白露为霜

不能掉的前言

当反汇编恶意软件样本时，其实我们就是在分析寻找攻击者所疏忽的地方。这些我们可以从那些相同字符串、较弱的模糊处理例子、重复使用的代码片段中去分析。有时我们在谈论攻击者时总会带着一些主观臆想，认为那些攻击者就是超级恶棍，做坏事就跟家常便饭般习以为常。但是请记住他们也是人！

确认宏中payload

今天我们要分析的样本也不例外，在我们复审分类控制台时遇到了一个有趣的钓鱼邮件，其中包含了以下附件，在Yara规则中就有一些失误了：

一会时间后，我们看到了大量包含宏的Word文档，这种结合XOR exe触发的确十分少见。这种类型的payload通常都是exploit和最新版本的安装包结合。通过使用xorsearch证实这里面确实存在一枚恶意payload。
注意：XOR 00 为数据本身。

打开这个文件，确认里面存在宏，这是一个好消息。

使用快捷键alt + f11尝试并提取出宏代码，竟然有密码保护。

看来是时候祭出我们的宏密码破解神器了：

最后获得宏代码：

分析

执行宏代码，word文档的一个副本会另存到%temp%/300.rtf和%temp$/301.rtf，我们的恶意payload会被保存到%temp%/q2.exe，接着执行。
观察q2.exe，文件的编译路径为T:\mandatory\Hence\one\Date\effort.pdb。变相的说明了恶意软件可以在T盘目录下进行编译，位于mandatory目录，项目名称为Hence。但是XORed payload在哪呢？
通过在关键的0×66(f)执行一个单字节XOR，我们知道这是能成功的，这时我们就可以看到可执行文件其他一些字符串和结构。

需要注意的是，攻击者确实做了些蠢事导致很难运行，由于其缺少标准“MZ”。这是在解码payload时添加的：

一直向下拉我们找到一些字符串，得知有些数据使用aPlib进行编码：

第2阶段，继续滚动编码过的数据，我们发现一个将会被调用的域名：

接下来再看看使用的user agent，不要把恶意软件使用HTTP/1.0给忘记了。

他有能力收集大量的凭证，主要是FTP：

尾声

结合一下分类规则可以用来进行检测：

PM_Office_With_MacroPM_xor_This_program_* (在规则中已经超过500种)为了帮助更多的人，提供恶意软件的C2以及user agents信息[点我]

*参考来源：Phishme，编译/FB小编鸢尾，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

sanhu35

谢谢分享

zzmzzff

vb居然出来了

15536900

zzmzzff 发表于 2015-11-13 13:21
vb居然出来了

那是vba

gujin162

宏密码破解神器是什么啊？

猪头无双

哟，根姐辛苦好文章

翰轩华风

        赞一个!