AntonyN0p Sep 6 2022 at 19:25

Ресерч свежего Excel документа с Loki malware внутри

3 min

8.4K

Information Security*

From sandbox

+16

Comments 14

HemulGM Sep 6 2022 at 20:39

А есть описание или информация, по какой причине какие-то бинарные данные внутри файла внезапно исполняются? Или я пропустил?

+10

LikeMySoul Sep 7 2022 at 09:34

Скорее всего дырка excel вроде старенькой CVE-2008-0081. Можно ради интереса покопать свежие известные на exploitdb условном, но мне лень =)

AntonyN0p Sep 7 2022 at 09:35

Справедливые вопросы, цели рассказть о структуре документа и запуске содержимого в статье не преследовал, но стоило об это рассказать, спасибо!
Часто содержимое таких документов запускается после открытия документа, блягодарю Auto_open макросу. Порой с использованием эксплойтов =)

AlexeyK77 Sep 7 2022 at 10:26

ну да, просто в статье было указано, что ни макросов ни OLE не было. Значит либо используется либо експлоит либо что-то другое, о чем было бы полезно знать. Заранее спасибо, если проясните этот момент

tormozedison Sep 6 2022 at 21:14

Что будет, если такой xlsx открыть не в Excel, а в любом другом офисном пакете, понимающем этот формат? Малварь не запустится?

AntonyN0p Sep 7 2022 at 09:36

Зависит от способа запуска, другие офисные пакеты также могут поддерживать исполнение VBA макросов.

tormozedison Sep 7 2022 at 13:50

А, так это до сих пор делают на VBA, тогда где угодно можно открывать, предварительно отключив таковой, если поддержка имеется.

KivApple Sep 6 2022 at 23:39

Самым интересным было как исполняемый код из xlsx в отсутствии макросов смог запуститься. Однако именно эту самую интересную часть в статье я и не увидел.

AntonyN0p Sep 7 2022 at 09:36

Спасибо, обязательно сделаю на эту тему статью!

Wesha Sep 7 2022 at 00:10

Ожидал, что сейчас страшный и ужасный XLSX откроют ZIP-ом (а XLSX — не что иное, как куча XML и не только файлов, запакованных в ZIP-архив) и начнут ковыряться в кишках, но аффтар уровня "скрипт-кидди", конечно, увы и ах :(

AntonyN0p Sep 7 2022 at 09:39

Вы правы в том, что файл имеет сигнатуру PK - zip, но ошибаетесь что сможете распаковать и просматривать содержимое. В начале статьи этому посвящен материал, в котором описано, что содержимое файла зашифровано симметричным алгоритмом шифрования.
P.S. "скрипт-кидди" - тоже неплохо, ведь учиться никогда не стыдно, особенно, если делишься знаниями =)

12rbah Sep 7 2022 at 11:03

А вы смотрели как работает софт для рашифровки, автор просто использует либу для расшифровки docx, которая перебирает по словарю ? Конкретно этот кусок выглядит как перевод другой статьи, которую делали для псевдохакеров.

Ну и сама либа не заточена под брутфорс, т.к. перебирает около 15-20 паролей в секунду, даже для словаря это не очень результат ну и как бы там представлено всего 3,5к паролей, в реальности используют словари гораздо больше, поэтому данный скрипт на практике будет работать со скрипом. Ниже на скрине пример работы скрипта.

В целом данный материал неплох как мануал, но в целом он сыроват.

AntonyN0p Sep 8 2022 at 22:25

Итак, как запускался вложенный туда oleObject1.bin:
В случае когда установлен autoLoad = 1 или True, OLE object автоматически загружается при открытии файла (подробнее).

В файле с зависимостями как раз видно наш oleObject1.bin с Id="rId3", который содержится в sheet1.xml.

Wesha Sep 9 2022 at 01:11

Вооооо! Вот и ответ на вопрос — а то мне тут, товарисч, панимаишь, вкручивает, что якобы "ошибаетесь что сможете распаковать и просматривать содержимое "

Show the best of all time