freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

详细分析使用Certutil解码的Office恶意软件
2018-03-10 08:00:40

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码恶意软件,并通过宏来启动恶意软件,这样做主要是为了绕过杀软的检测点。

详细分析

首先打开文档会看到要启动宏提示,说明是有宏代码的,兰云科技提醒大家再没有明确确认的情况下,不要随便点击office下面的提示。

使用certutil解码的office恶意软件

下面打开宏代码进行分析发现里面的宏代码是加了密码的。

使用certutil解码的office恶意软件

通过脚本对密码进行替换,成功读取到了其中的宏代码。

使用certutil解码的office恶意软件

可以看到样本会获取ShellExecuteA 和GetTempPathA两个API进行备用。

使用certutil解码的office恶意软件

再获取API后,使用宏代码激活样本中的OLE对象。

使用certutil解码的office恶意软件

可以看到样本中有个OLE对象当宏代码激活时会释放到临时文件夹中。

使用certutil解码的office恶意软件

再将这个文件释放到临时文件中后,样本会调用GYUODS函数。

使用certutil解码的office恶意软件

这个函数主要会调用GetTempPath 来获取临时文件夹路径。

使用certutil解码的office恶意软件

在获取了临时文件夹后,拼接出OLE对象的路径 \Temp\WORD.VRE。

使用certutil解码的office恶意软件

在拼接出以后开始调用 certutil.exe 进行对WORD,VRE进行解码。

使用certutil解码的office恶意软件

下图为WORD.VRE被编码的格式。

使用certutil解码的office恶意软件

certutil.exe  是微软自带的软件,官方的介绍链接为https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil

其中的decode和encode可以实现对一个文件进行Base64的编码和解码。

使用certutil解码的office恶意软件

在解码完WORD,VRE成VRE.exe后,最后调用执行。

使用certutil解码的office恶意软件

可以简单看下 VRE.EXE先通过启动IE进程并将恶意代码注入IE进程。

使用certutil解码的office恶意软件

使用certutil解码的office恶意软件

并设置开机自启动。

使用certutil解码的office恶意软件

连接的C&C地址为193.138.223.44。

使用certutil解码的office恶意软件

总结

恶意软件通过一些绕过杀软的技术来实现最终的恶意软件的注入和释放,对于宏病毒,大家还是需要提起注意。

*本文作者:兰云科技银河实验室,转载请注明来自 FreeBuf.COM

# certutil # office恶意软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者