Cubrimos el análisis de un documento de Office que tiene un código Macro incrustado escrito en Visual Basic. Se afirmó que el documento causaba una infección de ransomware, por lo que realizamos un análisis estático que incluyó la extracción de cadenas relevantes, el cálculo del hash MD5, los metadatos y la revelación de la rutina macro oculta utilizando herramientas como olevba. Luego enviamos el hash a motores de análisis en línea como VirusTotal y se descubrió que era malicioso porque ejecuta un comando Powershell que contacta al servidor c2 para descargar más cargas útiles. También encontramos casos de cifrado XOR junto con la clave XOR que luego se utilizó para descifrar caracteres que se codificaron previamente en forma decimal. Esto fue parte de Desafío Emo de HackTheBox.
Obtenga notas del certificado OSCP
El curso completo y práctico de pruebas de penetración de aplicaciones web
Descripción del desafío
El ransomware WearRansom acaba de aparecer en nuestra empresa. El SOC ha rastreado el acceso inicial a un ataque de phishing, un documento de Word con macros. Eche un vistazo al documento y vea si puede encontrar algo más sobre el malware y tal vez una bandera.
Vídeos destacados
En este video, nos ponemos en la piel de un respondedor de incidentes y analizamos un documento de Office Word malicioso que contiene un código macro malicioso que ejecuta Powershell que realiza algo de cifrado XOR y llama al servidor de comando y control para colocar más cargas útiles en la máquina infectada. Básicamente, aislaremos la máquina infectada, cortaremos Internet y la clonaremos para analizarla.
Entonces, lo primero que vamos a comenzar con un análisis de malware estático ejecutando varios comandos, como extraer cadenas relevantes de la muestra, calcular el hash MD5 y extraer las rutinas macro utilizando algunas herramientas como olevba y oledump.py.
La rutina Macro contiene los comandos y las cargas útiles que se ejecutan en la máquina, incluido el comando Powershell. Después del análisis estático, realizamos el análisis dinámico que revela los procesos generados, las conexiones de red, las claves de registro modificadas y los eventos desencadenados. Además, debe considerar la marca de tiempo al buscar eventos en el Visor de eventos. Entonces, si abrió durante el análisis dinámico, digamos que abrió el documento malicioso a las 19:35 p.m., tendrá que usar esta hora y filtrar los eventos que se activaron exactamente en la marca de tiempo especificada.
El informe de análisis dinámico de esta muestra se puede encontrar en cualquier.ejecutar
Algunos de los dominios con los que se comunicó la muestra se encuentran a continuación
da-industrial.htb daprofesional.htb www.outspokenvisions.htb dagranitegiare.htb mobsouk.htb biglaughs.htb ngllogistics.htbA continuación se muestra el comando de Powershell que se revela en el informe de análisis dinámico.
PowerShell -WindowStyle Hidden -Encod PA
El comando de PowerShell anterior se decodificará usando Cyberchef usando frombase64 y eliminará los bytes nulos. Esto le brindará la carga útil completa de la cual podemos resaltar las siguientes declaraciones de variables:
$FN5ggmsH += (186,141,228,182,177,171,229,236,239,239,239,228,181,182,171,229,234,239,239,228)
$FN5ggmsH += (185,179,190,184,229,151,139,157,164,235,177,239,171,183,236,141,128,187,235,134,128,158,177,176,139)
$FN5ggmsH += (183,154,173,128,175,151,238,140,183,162,228,170,173,179,229)
Si usamos chardecode y decimal en Cyberchef, nos dará una cadena cifrada con XOR cuya clave es 0xdf, que se puede encontrar en la línea que resalta lo siguiente en la carga útil original después de decodificarla en Cyberchef.
+= ([byte][carácter]${_} -bxor 0xdf )
Tutorial en vídeo
