Análisis de malware
Análisis de documentos maliciosos
septiembre 28, por Ninja de seguridad
La propagación de malware a través de documentos maliciosos no es nueva, pero considerar cómo los autores de malware utilizan diferentes técnicas se ha convertido en un desafío para los analistas de malware a la hora de identificar los patrones, extraer y comprender el código malicioso. En esta serie de artículos, aprenderemos sobre los dos tipos principales de documentos a través de los cuales se propagan los documentos maliciosos, es decir, documentos de Microsoft y archivos PDF. También veremos la estructura de estos documentos, ya que primero es necesario entenderla para saber cuáles son las diferentes propiedades/artefactos que utilizan los autores de malware para incrustar su código. También veremos varias herramientas que se pueden utilizar para extraer toda esa información y cómo interpretar el resultado de estas herramientas. Entonces, comencemos.
Primero, analicemos los documentos de Microsoft.
Aplicaciones de Microsoft Office
Las aplicaciones de Microsoft Office, como Word, Excel y PowerPoint, tienen un historial de ser explotadas por autores maliciosos de vez en cuando. Dado que estas aplicaciones suelen ser utilizadas por usuarios empresariales y usuarios finales, los autores maliciosos apuntan a estos documentos para infectar a más usuarios y extraer información valiosa de ellos.
Estas aplicaciones de Microsoft son explotadas por autores maliciosos ya sea incrustando un código shell en el documento que se ejecuta aprovechando una vulnerabilidad o mediante un código macro incrustado como una macro en el documento que a su vez se ejecuta cuando el usuario hace clic en «Aceptar».
Cabe señalar que, aunque todas las versiones modernas de Microsoft Office admiten macros VBA, están deshabilitadas de forma predeterminada. El usuario debe habilitar explícitamente las macros. De esto también se puede entender que este tipo de ataques necesitan la participación del usuario para infectarse. Los autores de malware identificarán el contenido de un documento hasta que el usuario haga clic en «Habilitar contenido». Tan pronto como el usuario hace clic en «Habilitar contenido», es posible que vea información conocida en el documento, pero si el documento es malicioso, el código de fondo malicioso comenzará a ejecutarse.
Para analizar este tipo de documentos maliciosos, está disponible un conjunto de herramientas muy popular conocido como OfficeMalScanner. Esta es una gran utilidad ya que elimina la dependencia de Microsoft Office en el sistema. En la siguiente sección veremos cómo podemos utilizar OfficeMalScanner para analizar dichos documentos maliciosos.
OfficeMalScanner extrae el código VBA incrustado en la macro. Proporcione el parámetro de información como
Información de muestra.doc de OfficeMalScanner
y OfficeMalScanner crea un directorio y volca sus hallazgos en ese directorio.
En este ejemplo. Vuelca el contenido analizado de sample.doc en nombre de archivo.macros como el que se muestra a continuación.
Tan pronto como se abra el documento y se abran las macros habilitadas por el usuario, se ejecutará Auto_Open(). En esta función, se llama a OberonSoftware y luego llama a la función Mordedor. Si miramos la parte superior del script, entonces esta función puede verse como un alias de URLDownloadToFIleA, lo que significa que el código indica a Microsoft Word que descargue el archivo aboki.scr desde hxxp://limitless.hints.me y lo guarde como %APPDATA%conhost.exe.
Como podemos ver, con solo un comando de OfficeMalScanner, pudimos extraer macros y luego información útil como la comentada anteriormente. Continuaremos viendo más limitaciones y capacidades de OfficeMalScanner a medida que avancemos en esta serie.
Como sabemos, a partir de Office, Microsoft ha pasado del formato binario tradicional a un formato basado en XML para un mejor análisis de los objetos incrustados. Precisamente por esta razón, podemos ver que la x en todas las nuevas extensiones de Microsoft Office como .docx, .pptx, .xlsx, etc. y todo el contenido de un archivo se puede extraer de archivos usando software como 7zip.
Ahora ejecutemos estos nuevos documentos de Word basados en XML con OfficeMalScanner. Antes de comenzar, otro punto importante a tener en cuenta es que cuando se guardan con formatos basados en XML, las macros solo son compatibles con extensiones que terminan en m como .docm, .pptm, etc.
Para analizar dichos ejemplos de formato, tomamos newformatsample.exe y ejecutamos el siguiente comando
OfficeMalScanner nuevo formato muestra.docm información
Recibimos un mensaje porque OfficeMalScanner no puede utilizar el parámetro ‘info’ en estos nuevos formatos basados en XML. Por lo tanto, utilice el parámetro info sólo con archivos heredados.
Para sortear esta limitación del comando ‘info’, podemos usar otro comando conocido como comando inflar de OfficeMalScanner.
OfficeMalScanner newformatsample.docm inflar
Si OfficeMalScanner detecta un código de macro VBA incrustado, coloca el contenido en vbaProject.bin. A continuación se muestra la estructura de directorios de toda la salida del comando inflate.
Además, vbaProject.bin está dentro de la carpeta de Word.
Ahora ejecutemos el comando ‘info’ en este archivo vbaProject.bin.
OfficeMalScanner vbaProject.bin información
Ahora el comando funciona porque pudimos analizar el archivo binario con éxito.
A continuación se muestran los contenidos del archivo de macro extraído.
Abramos NewMacros y veamos su funcionalidad. Tan pronto como se abre el documento y se habilitan las macros, se llama a la función ‘h’ (mire dentro de Auto_Open). Dentro de la función ‘h’, se crea un objeto de tipo Shell y luego utiliza el método GET y SEND del objeto XMLHTTP para descargar el contenido de hxxp:/softonic.biz/cr/4.exe.
Después de eso, el archivo exe descargado se guarda como q.com (en el siguiente fragmento) en la carpeta %APPDATA%q .
Después de eso, se llama a la función ‘m’ que a su vez ejecuta el archivo descargado.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Entonces, en este artículo, hemos visto algunos conceptos básicos y iniciales sobre el análisis de archivos maliciosos. En la siguiente parte de la serie, analizaremos ejemplos más complejos y veremos los métodos para analizar el contenido de esos documentos maliciosos.