5 feb. 2015

OfficeMalScanner: destripando documentos ofimáticos

Una de las principales vías de infección de malware es a través de documentos ofimáticos. Son un vector de infección muy contundente, sobre todo en ataques dirigidos y campañas de phising.

Estos documentos son manipulados con el fin de esconder en su interior macros, objetos OLE, ejecutables, etc., los cuales, una vez abierto el documento por el usuario, realizan una serie de acciones maliciosas con el objetivo de obtener información con la que poder lucrarse o simplemente provocar daños en el sistema. Generalmente, las acciones llevadas a cabo por este tipo de malware genérico son descargar otro malware desde internet (droppers), explotar vulnerabilidades del sistema, replicarse para asegurarse la persistencia en el equipo, exfiltrar información del usuario, etc.

Una herramienta muy útil para analizar y detectar patrones anómalos en los documentos ofimáticos es la suite OfficeMalScanner, la cual podéis descargar desde la web de su autor, http://www.reconstructer.org/.

La suite se compone de las siguientes herramientas:
  • OfficeMalScanner: Analiza los documentos de Microsoft Office (DOC, XLS, PPT) en busca de ficheros incrustados, objetos OLE, shellcodes, macros VBA. Además cuenta con una función capaz de descifrar métodos simples de ofuscación como ROR y XOR.
  • RTFScan: Escanea los ficheros RTF y extrae los objetos incrustados que posteriormente pueden ser analizados por OfficeMalScanner.
  • MalHost-Setup: Es una herramienta capaz de extraer el shellcode de un documento y empaquetarlo en un PE para facilitar su análisis con un debugger.
  • DisView: Es un visor de código ensamblador que muestra el objeto desensamblado y en el offset indicado. Útil para localizar el shellcode detectado por las herramientas anteriores.
Vamos a analizar varios documentos maliciosos con estas herramientas para mostrar su funcionamiento y los resultados que podemos obtener.

Contenido completo en fuente original SecurityArtWork

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!