tourist_gr Δημοσ. 7 Μαρτίου 2015 Δημοσ. 7 Μαρτίου 2015 (επεξεργασμένο) Τον περασμένο Οκτώβριο παρατηρήθηκε μια εκστρατεία αποστολής μηνυμάτων spam, τα οποία περιείχαν κακόβουλο λογισμικό, μεταμφιεσμένο σε μορφές αρχείων του Microsoft Office. Κυρίως επρόκειτο για έγγραφα Word που χρησιμοποιούσαν το παλιό binary format, αλλά και φύλλα Excel και αρχεία σε format «ZIP/XML». Όλα περιείχαν μακροεντολές VBA που εκτελούνταν αυτόματα μόλις ο χρήστης – παραλήπτης άνοιγε το αρχείο. Χθες, 5/3, εμφανίστηκαν μηνύματα spam με συνημμένα αρχεία XML. Ενδεχομένως να θεωρήσετε ότι με διπλό κλικ το αρχείο θα ανοίξει μέσω του περιηγητής Internet Explorer, όμως εαν έχετε εγκατεστημένο το Microsoft Office, το αρχείο θα ανοίξει με το Microsoft Word. Το XML αρχείο περιέχει ένα στοιχείο (w:binData) που με τη σειρά του έχει ως περιεχόμενο ένα string σε base64. Κοιτώντας στα attribute (w:name=”editdata.mso”) φαίνεται ότι πρόκειται για αρχείοMSO. Με ανάλυση του κώδικα του string σε base64, καταλήγουμε σε ένα δυαδικό stream με κεφαλίδα ActiveMime. Στο 50ο byte μέσα στο stream (θέση 0x32), αρχίσει ένα αντικείμενο με συμπίεση ZLIB. Με περαιτέρω ανάλυση, αποκαλύπτεται ένα αρχείο OLE (κεφαλίδα 0xD0CF1LE0) που περιέχειμακροεντολές VBA. Επιπλέον ανάλυση μπορεί να γίνει με τη χρήση κάποιου tool γραμμένου σε γλώσσα Python, ώστε να μπορούν να αναλυθούν κακόβουλα αρχεία του Microsoft Office χωρίς να χρειαστεί να τρέξετε κάποια από τις εφαρμογές του Office. Τι χρειάζεται να προσέξετε; Αν χρησιμοποιείτε φίλτρο για να ελέγχετε τα επισυναπτόμενα των email σας και ειδικά τα αρχεία του Microsoft Office, θα πρέπει να ελέγξετε πως λειτουργεί το φίλτρο σας με τα αρχεία XML. Η δήλωση XML αναγνωρίζει το αρχείο XML ως ένα έγγραφο Word, και το attributew:macrosPresent=”yes” (του στοιχείου w:wordDocument) υποδεικνύει την παρουσίαμακροεντολών VBA. Σημειώστε επίσης ότι τα strings αυτά είναι διαφορετικά για τα αρχεία XML Excel. Το δείγμα που χρησιμοποιήθηκε στο πλαίσιο του παρόντος άρθρου έχει MD577739ab6c20e9dfbeffa3e2e6960e156. ΠΗΓΗ: cybersecurity.gr Επεξ/σία 7 Μαρτίου 2015 από tourist_gr
lefteris t. Δημοσ. 7 Μαρτίου 2015 Δημοσ. 7 Μαρτίου 2015 σμρα μ ηρθε εμαιλ με συνημμενο αρχειο "xml", το ανοιξα αλλα το malwarebyte μ το blockare! 1
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα