Σάββατο, 16 Δεκέμβριος 2017, 3:31 πμ

XML αρχεία με «ύποπτο» περιεχόμενο σε spam emails

Τον περασμένο Οκτώβριο παρατηρήθηκε μια εκστρατεία αποστολής μηνυμάτων spam, τα οποία περιείχαν κακόβουλο λογισμικό, μεταμφιεσμένο σε μορφές αρχείων του Microsoft Office. Κυρίως επρόκειτο για έγγραφα Word που χρησιμοποιούσαν το παλιό binary format, αλλά και φύλλα Excel και αρχεία σε format «ZIP/XML». Όλα περιείχαν μακροεντολές VBA που εκτελούνταν αυτόματα μόλις ο χρήστης – παραλήπτης άνοιγε το αρχείο.

Χθες, 5/3, εμφανίστηκαν μηνύματα spam με συνημμένα αρχεία XML. Ενδεχομένως να θεωρήσετε ότι με διπλό κλικ το αρχείο θα ανοίξει μέσω του περιηγητής Internet Explorer, όμως εαν έχετε εγκατεστημένο το Microsoft Office, το αρχείο θα ανοίξει με το Microsoft Word.

xml files macros office

Το XML αρχείο περιέχει ένα στοιχείο (w:binData) που με τη σειρά του έχει ως περιεχόμενο ένα string σε base64. Κοιτώντας στα attribute (w:name=»editdata.mso») φαίνεται ότι πρόκειται για αρχείο MSO. Με ανάλυση του κώδικα του string σε base64, καταλήγουμε σε ένα δυαδικό stream με κεφαλίδα ActiveMime. Στο 50ο byte μέσα στο stream (θέση 0x32), αρχίσει ένα αντικείμενο με συμπίεση ZLIB. Με περαιτέρω ανάλυση, αποκαλύπτεται ένα αρχείο OLE (κεφαλίδα 0xD0CF1LE0) που περιέχει μακροεντολές VBA.

xml files macros office

Επιπλέον ανάλυση μπορεί να γίνει με τη χρήση κάποιου tool γραμμένου σε γλώσσα Python, ώστε να μπορούν να αναλυθούν κακόβουλα αρχεία του Microsoft Office χωρίς να χρειαστεί να τρέξετε κάποια από τις εφαρμογές του Office.

Στην ακόλουθη εικόνα μπορείτε να δείτε τα αποτελέσματα που φέρνει το εργαλείο oledump.py του ερευνητή Didier Stevens :

xml files macros office

Τι χρειάζεται να προσέξετε;

Αν χρησιμοποιείτε φίλτρο για να ελέγχετε τα επισυναπτόμενα των email σας και ειδικά τα αρχεία του Microsoft Office, θα πρέπει να ελέγξετε πως λειτουργεί το φίλτρο σας με τα αρχεία XML. Η δήλωση XML αναγνωρίζει το αρχείο XML ως ένα έγγραφο Word, και το attribute w:macrosPresent=»yes» (του στοιχείου w:wordDocument) υποδεικνύει την παρουσία μακροεντολών VBA. Σημειώστε επίσης ότι τα strings αυτά είναι διαφορετικά για τα αρχεία XML Excel.

Το δείγμα που χρησιμοποιήθηκε στο πλαίσιο του παρόντος άρθρου έχει MD5 77739ab6c20e9dfbeffa3e2e6960e156.

Πηγή: InfoSec Community Forums – Sans.edu

Τον περασμένο Οκτώβριο παρατηρήθηκε μια εκστρατεία αποστολής μηνυμάτων spam, τα οποία περιείχαν κακόβουλο λογισμικό, μεταμφιεσμένο σε μορφές αρχείων του Microsoft Office. Κυρίως επρόκειτο για έγγραφα Word που χρησιμοποιούσαν το παλιό binary format, αλλά και φύλλα Excel και αρχεία σε format «ZIP/XML». Όλα περιείχαν μακροεντολές VBA που εκτελούνταν αυτόματα μόλις ο…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.8 ( 2 votes)
95