чем исследовать DOCX файл инфицирования?

Сейчас на форуме: vsv1, Alf (+4 невидимых)

Посл.ответ	Сообщение
taras44 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 11 августа 2015 23:37 · Личное сообщение · #1 Доброго времени суток. !!! Не открывайте файл вложение текстовыми редакторами типа WORDа !!! Недавно в сеть попал архив с данными hackingteam, которая разрабатывала и распространяла шпионский софт гос структурам. В этом архиве среди прочего был файл DOCX для инфицирования ОС. Из переписки hackingteam (тоже слитой в интернет) стало ясно, что файл (по идее) инфицирует ОС при его запуске, в итоге загружая шпионский модуль. Знатоки, посоветуйте, как можно исследовать данный файл для поиска кода эксплоита? Может есть описание технологий инфицирования через DOCX файлы? Меня этот вопрос зацепил ещё потому, что в ряде писем, в которых сотрудники взломанного hackingteam отправляли своим клиентам исполняемые модули своего "шпиона", они прикладывали docx файл с поздравлением с 9 мая. (Далее моё предположение...) В письмах, к которым были приложены шпион и листовка (с 9 мая) (странное соседство), ни отправители ни получатели даже не касались темы поздравления с 70летием победы. Поэтому есть мысль, что листовка имеет схожее назначение с прикреплённым мною файлом инфицирования ОС. Буду признателен за помощь. 7d91_12.08.2015_EXELAB.rU.tgz - PRUEBAS EN CONTRA DE MARIO.docx

unknownproject Ранг: 95.1 (постоянный), 247thx Активность: 0.26↘0.01 Статус: Участник	Создано: 11 августа 2015 23:53 · Личное сообщение · #2 Все форматы пакета MS Office подвержены уязвимости ака исполнение произвольного кода в теле.Древнейший баг, который плавает больше года уж точно. ----- TEST YOUR MIGHT \| Сообщение посчитали полезным: taras44
LinXP Ранг: 89.1 (постоянный), 134thx Активность: 0.06↗0.07 Статус: Участник	Создано: 11 августа 2015 23:58 · Поправил: LinXP · Личное сообщение · #3 taras44 WinRAR используй )) глянул мельком, увидел обращение к hXXps://mynewsfeeds.info/docs/gb2EKV/9a2g3g5m5m3d.swf (файл \word\activeX\activeX1.bin) предположил что уязвимость флеша, а ворд как средство доставки... \| Сообщение посчитали полезным: taras44, ONIK
taras44 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 12 августа 2015 00:01 · Личное сообщение · #4 О, спасибо ребят, что откликнулись. У них действительно была пара 0day эксплоитов, которые эксплуатировали именно уязвимости flash. Добавлено спустя 1 минуту unknownproject можешь дать ссылку на статейку какую-нибудь по этой теме? или может как технология называется... Добавлено спустя 4 минуты LinXP это строка в файле лежала открытым текстом прямо? Добавлено спустя 7 минут Да. Точно. У них служба поддержки клиентам при тестах раздавала линки, переходя по которым применялся тот или иной экплоит. Структура линка совпадает с той что у выцепленного LinXP Добавлено спустя 9 минут LinXP посмотри пожалуйста если такие строки как ты ранее нашёл в этом файле? c2cb_12.08.2015_EXELAB.rU.tgz - May 9.docx Добавлено спустя 9 минут и ещё один файл 96ff_12.08.2015_EXELAB.rU.tgz - Infiltrados.docx Добавлено спустя 10 минут А то открыл я файл в winhex, а там вижу тока бинарные данные. строк не вижу. учусь еще))
Wyfinger Ранг: 52.1 (постоянный), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 12 августа 2015 01:42 · Личное сообщение · #5 taras44 пишет: А то открыл я файл в winhex, а там вижу тока бинарные данные. строк не вижу. учусь еще)) docx-файл - это переименованный zip-архив. Распакуйте любым архиватором и ковыряйтесь в содержимом спокойно.
neprovad Ранг: 35.4 (посетитель), 15thx Активность: 0.02↘0 Статус: Участник	Создано: 14 августа 2015 21:31 · Личное сообщение · #6 Все уже описано, читать не перечитать go.microsoft.com/fwlink/?LinkId=158791
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 14 августа 2015 22:15 · Личное сообщение · #7 taras44 вообще то такие вещи в архиве с паролем нужно выкладывать
ONIK Ранг: 3.3 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2015 18:26 · Личное сообщение · #8 r99 Чтобы потестить местные бруты?)
int Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 22 августа 2015 18:44 · Личное сообщение · #9 ONIK Чтобы сайт не забанили за вирусный контент.
ONIK Ранг: 3.3 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2015 19:09 · Личное сообщение · #10 Формально пароль не меняет контент. Ограничивает лишь доступ в кругу ограниченного доступа (тут про участников форума). Если не прав - объясните новичкам. Спасибо! В этих файлах также эксплуатируется уязвимость? c2cb_12.08.2015_EXELAB.rU.tgz - May 9.docx 96ff_12.08.2015_EXELAB.rU.tgz - Infiltrados.docx Если да, то где именно?
unknownproject Ранг: 95.1 (постоянный), 247thx Активность: 0.26↘0.01 Статус: Участник	Создано: 22 августа 2015 19:44 · Поправил: unknownproject · Личное сообщение · #11 ONIK пишет: Ограничивает лишь доступ в кругу ограниченного доступа Любой антивирусный движок анализирует бинарщину любого уровня, в том числе и архивы.Архив с паролем он не в состоянии проанализировать, так как брутфорс - это во-первых время, а во-вторых уже нарушение закона, ибо технически, гипотетически и фактически содержимое любого архива может являться авторской собственностью, а за несанкционированный доступ к оным предусмотрена как административная, так и уголовная ответственность.Аверские вендоры сотрудничают со спецслужбами, добавляют в свои базы все, что считают вредоносным.В том числе и то, что им закрысили дебильные юзеры-параноики, даже, если в их кривые руки попадает какой-нибудь банальный редактор сохранений или распаковщик, который до каких-то времен был приватным, пока автор не решил сам его слить или это было сделано не по его воле. ONIK пишет: Если да, то где именно? Открыть архиватором и посмотреть. Wyfinger пишет: docx-файл - это переименованный zip-архив. Вообще-то все форматы из пакета офиса, начиная с версии от 2007 года - это зип архивы, так что сие не новость. ----- TEST YOUR MIGHT \| Сообщение посчитали полезным: ONIK, Rainbow
ONIK Ранг: 3.3 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2015 20:02 · Личное сообщение · #12 Far-ом вытащил из архива. bin файлов не нашел. Что не увидел?
dosprog Ранг: 431.7 (мудрец), 390thx Активность: 0.73↘0.32 Статус: Участник	Создано: 22 августа 2015 20:31 · Поправил: dosprog · Личное сообщение · #13 Что-то я не понял. Обычные доки, нету там малвари. neprovad пишет: Все уже описано, читать не перечитать go.microsoft.com/fwlink/?LinkId=158791 ..а при чём тут OffVis? Речь шла о docx-файлах.
taras44 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 26 августа 2015 21:51 · Личное сообщение · #14 r99 пишет: вообще то такие вещи в архиве с паролем нужно выкладывать Да, учту на будущее. Я ещё не освоился здесь. Эти файлы действительно только средство доставки эксплоита. Но все ссылки на эксплоиты, разумеется, нерабочие. После утечки данных hacking team они грохнули всю свою сеть по доставке эксплоитов. Ну как грохнули, поменяли, наверно, все свои виртуальные сервера. Из порядка 60 виртуальных серверов на момент моего исследования живым я обнаружил только 1. Эти товарищи вообще сами эксплоиты никуда никому не продавали (суд по переписке). Продавали, по-сути, только результат их работы и шпионские модули. Любопытно оказалось то, какие именно заготовки docx файлов присылали спецслужбы разных стран. То есть они присылали вордовский файл с уже готовым содержимым. После этого файл модифицировали, добавляя activeX со ссылкой на URL с эксплоитом. В общем, ближневосточные разведки (туда же армия и полиция) предпочитают письма личного содержания. Итальянские, португальские предпичитают слать своим жертвам письма с всякими промо материалами выставок (в основном мне попадались материалы о сельскохозяйственных выставках). Бразилия только и делала, что клепала документы об олимпиаде.

Для печати