Aula 19

Engenharia Reversa e
Análise de Malware
Ronaldo Pinheiro de Lima
crimesciberneticos.com@gmail.com
Aula 19
11. Trabalhando com Documentos Maliciosos
Etapas genéricas da análise de documentos maliciosos

11.2. Análise de documento Microsoft Office

OfficeMalScanner
Lab 11-01 Análise de documento Office malicioso

11.4. Análise de PDF

Lab 11-02 Análise de PDF malicioso

2 Aula 19
Documentos Maliciosos
 são normalmente utilizados em ataques direcionados
 porta de entrada para outros malwares
 spear phishing e APT
 explorar vulnerabilidade do leitor/interpretador
 armazenam código embutidos (objetos)
 flash object
 macro VB
 JavaScript
 arquivo PE
 shellcode
3 Aula 19
Etapas genéricas para analisar documentos
1. localizar dentro do documento códigos embutidos
2. extrair o código suspeito
3. fazer disassembly ou debugger do shellcode
4. desofuscação do JavaScript, macro VB, etc
5. analisar PE extraído, pelos métodos tradicionais
6. entender o que aconteceu depois da infecção

 computação forense
 exploits

4 Aula 19
Análise de documentos do Office
 objetos embutidos
 códigos maliciosos
< 2007 - formato antigo do Office
2007 > - padrão Open Office XML – docx, xlsx, pptx
 arquivo compactado com vários XMLs
 XMLs podem ser lidos facilmente
 macro VB (formato antigo) – vbaproject.bin
 ferramentas para analisar arquivos Office
 OfficeMalScanner – doc, xls, ppt e macro VB

5 Aula 19
OfficeMalScanner
 ferramenta linha de comando
 detectar código malicioso dentro do arquivo
 somente arquivos antigos (doc, xls, ppt)
comandos:
scan: busca padrões de shellcode
brute: XOR decode, OLE, PE, extrai em arquivos
debug: disassembly (shellcode), hex dump (OLE, PE)
info: exibe estruturas OLE, offset, extrai macro VB
inflate: descompacta Office 2007 para temp dir

6 Aula 19
Lab 11-01
Análise de documento Office malicioso

Material necessário:

 Máquina virtual com Windows XP 32-bit

 OfficeMalScanner
 Arquivo: Lab-11-01.rar

7 Aula 19
Analisando PDF malicioso
 Portable Document Format
 linguagem de descrição de página
 vulnerabilidade do leitor é alvo dos atacante
 possui objetos assim como o Office
 cada objeto tem um número e versão, ex: 1 0
 podem referenciar outros objetos, ex: 2 0 R
 JavaScript embutido usado pra explorar vulnerabilidade
 executa comandos no computador
 download de malwares é o mais comum

8 Aula 19
Analisando PDF malicioso
objetos mais comuns:

 /OpenAction e /AA (Additional Action) script ou ação a

ser executada automaticamente

 /JavaScript e /JS especifica o JavaScript a ser

executado

 /URI acessa um recurso por sua URL.

 /SubmitForm e /GoToR pode enviar dados para URL.

 /RichMedia pode ser utilizado para embutir Flash no

PDF.
9 Aula 19
Analisando PDF malicioso
ferramentas:

 pdfid.py identifica strings associadas a scripts e actions

 PDF-parser e Origami’s pdfwalker examina a estrutura

de arquivos PDF

 PDF Stream Dumper combina muitas ferramentas de

análise de PDF utilizando uma interface gráfica

 PDF X-RAY Lite cria uma relatório em HTML contendo

a estrutura e conteúdo do arquivo PDF decodificado

 Pyew inclui comandos para examinar e decodificar as

estruturas e conteúdo do arquivo PDF
10 Aula 19
Lab 11-02
Análise de PDF malicioso

Material necessário:
 Máquina virtual com Windows XP 32-bit
 Python 2.7
 pdfid.py
 PDF Stream Dumper
 Arquivo: Lab-11-02.rar

11 Aula 19
Obrigado!

A explicação detalhada de todos os tópicos está na apostila.

Ronaldo Pinheiro de Lima

crimesciberneticos.com@gmail.com
http://www.crimesciberneticos.com
@crimescibernet

12 Aula 19