详细内容或原文请订阅后点击阅览
快速发布:PDF/ActiveMime 多语言 Maldocs 分析
jpcert 报告了一种新型恶意文档:“PDF 中的恶意文档 - 通过将恶意 Word 文件嵌入 PDF 文件来绕过检测 -”。这些恶意文档是嵌入 MIME 格式的 Word 文档 (ActiveMime) 的 PDF 文件。可以通过结合我的 emldump.py 工具和 oledump.py 来分析 ActiveMime 文档。ActiveMime 文档被严重混淆了 […]
来源:Didier Stevens _恶意软件Quickpost:PDF/ActiveMime 多语言恶意文档分析
jpcert 报告了一种新型恶意文档:“PDF 中的恶意文档 – 通过将恶意 Word 文件嵌入 PDF 文件来绕过检测 –”。
PDF 中的恶意文档 – 通过将恶意 Word 文件嵌入 PDF 文件来绕过检测 –这些恶意文档是嵌入 MIME 格式的 Word 文档 (ActiveMime) 的 PDF 文件。
MIME 格式可以通过结合我的 emldump.py 工具和 oledump.py 来分析 ActiveMime 文档。
emldump.py oledump.pyActiveMime 文档在过去被严重混淆,这里也是如此。由于 emldump.py 0.0.11 版本只能处理 jpcert 提到的 3 个样本中的 2 个的混淆,因此我发布了一个新版本来处理更多的混淆。
以下是样本 5b677d297fb862c2d223973697479ee53a91d03073b14556f421b3d74f136b9d 的分析示例。
5b677d297fb862c2d223973697479ee53a91d03073b14556f421b3d74f136b9d使用选项 -F 运行 emldump(版本 0.0.12 或更高版本)以修复 mime-version 标头的混淆:
emldump要查找 ActiveMime 文件被隐藏的部分,请使用选项 -E %HEADASCII% 查看每个部分的前 20 个字符:
在这里我们可以看到第 14 部分不是 JPEG 文件,而是 ActiveMime 文件。
我们将其提取并导入 oledump.py:
该 ActiveMime 文件包含 VBA 代码:
这些恶意文档(至少是 jpcert 共享的 3 个样本)可以通过 pdfid 使用选项 -e 检测以显示额外信息:
流外有很多字节(通常对于 PDF 来说不应该有),并且流和流尾文档的数量不同。
但就像我说的,这些是针对这 3 个样本的检测,可以修改这些样本以消除异常。
快速发布信息