Ресерч свежего Excel документа с Loki malware внутри

[HemulGM]

А есть описание или информация, по какой причине какие-то бинарные данные внутри файла внезапно исполняются? Или я пропустил?

[LikeMySoul]

Скорее всего дырка excel вроде старенькой CVE-2008-0081. Можно ради интереса покопать свежие известные на exploitdb условном, но мне лень =)

[AntonyN0p]

Справедливые вопросы, цели рассказть о структуре документа и запуске содержимого в статье не преследовал, но стоило об это рассказать, спасибо!
Часто содержимое таких документов запускается после открытия документа, блягодарю Auto_open макросу. Порой с использованием эксплойтов =)

[AlexeyK77]

ну да, просто в статье было указано, что ни макросов ни OLE не было. Значит либо используется либо експлоит либо что-то другое, о чем было бы полезно знать. Заранее спасибо, если проясните этот момент

[tormozedison]

Что будет, если такой xlsx открыть не в Excel, а в любом другом офисном пакете, понимающем этот формат? Малварь не запустится?

[AntonyN0p]

Зависит от способа запуска, другие офисные пакеты также могут поддерживать исполнение VBA макросов.

[tormozedison]

А, так это до сих пор делают на VBA, тогда где угодно можно открывать, предварительно отключив таковой, если поддержка имеется.

[KivApple]

Самым интересным было как исполняемый код из xlsx в отсутствии макросов смог запуститься. Однако именно эту самую интересную часть в статье я и не увидел.

[AntonyN0p]

Спасибо, обязательно сделаю на эту тему статью!

[Wesha]

Ожидал, что сейчас страшный и ужасный XLSX откроют ZIP-ом (а XLSX — не что иное, как куча XML и не только файлов, запакованных в ZIP-архив) и начнут ковыряться в кишках, но аффтар уровня "скрипт-кидди", конечно, увы и ах :(

[AntonyN0p]

Вы правы в том, что файл имеет сигнатуру PK - zip, но ошибаетесь что сможете распаковать и просматривать содержимое. В начале статьи этому посвящен материал, в котором описано, что содержимое файла зашифровано симметричным алгоритмом шифрования.
P.S. "скрипт-кидди" - тоже неплохо, ведь учиться никогда не стыдно, особенно, если делишься знаниями =)

[12rbah]

А вы смотрели как работает софт для рашифровки, автор просто использует либу для расшифровки docx, которая перебирает по словарю ? Конкретно этот кусок выглядит как перевод другой статьи, которую делали для псевдохакеров.

Ну и сама либа не заточена под брутфорс, т.к. перебирает около 15-20 паролей в секунду, даже для словаря это не очень результат ну и как бы там представлено всего 3,5к паролей, в реальности используют словари гораздо больше, поэтому данный скрипт на практике будет работать со скрипом. Ниже на скрине пример работы скрипта.

В целом данный материал неплох как мануал, но в целом он сыроват.

[AntonyN0p]

Итак, как запускался вложенный туда oleObject1.bin:
В случае когда установлен autoLoad = 1 или True, OLE object автоматически загружается при открытии файла (подробнее).

В файле с зависимостями как раз видно наш oleObject1.bin с Id="rId3", который содержится в sheet1.xml.

[Wesha]

Вооооо! Вот и ответ на вопрос — а то мне тут, товарисч, панимаишь, вкручивает, что якобы "ошибаетесь что сможете распаковать и просматривать содержимое "