Documente Academic
Documente Profesional
Documente Cultură
Engenharia Reversa e
Análise de Malware
Ronaldo Pinheiro de Lima
crimesciberneticos.com@gmail.com
Aula 19
11. Trabalhando com Documentos Maliciosos
Etapas genéricas da análise de documentos maliciosos
2 Aula 19
Documentos Maliciosos
são normalmente utilizados em ataques direcionados
porta de entrada para outros malwares
spear phishing e APT
explorar vulnerabilidade do leitor/interpretador
armazenam código embutidos (objetos)
flash object
macro VB
JavaScript
arquivo PE
shellcode
3 Aula 19
Etapas genéricas para analisar documentos
1. localizar dentro do documento códigos embutidos
2. extrair o código suspeito
3. fazer disassembly ou debugger do shellcode
4. desofuscação do JavaScript, macro VB, etc
5. analisar PE extraído, pelos métodos tradicionais
6. entender o que aconteceu depois da infecção
computação forense
exploits
4 Aula 19
Análise de documentos do Office
objetos embutidos
códigos maliciosos
< 2007 - formato antigo do Office
2007 > - padrão Open Office XML – docx, xlsx, pptx
arquivo compactado com vários XMLs
XMLs podem ser lidos facilmente
macro VB (formato antigo) – vbaproject.bin
ferramentas para analisar arquivos Office
OfficeMalScanner – doc, xls, ppt e macro VB
5 Aula 19
OfficeMalScanner
ferramenta linha de comando
detectar código malicioso dentro do arquivo
somente arquivos antigos (doc, xls, ppt)
comandos:
scan: busca padrões de shellcode
brute: XOR decode, OLE, PE, extrai em arquivos
debug: disassembly (shellcode), hex dump (OLE, PE)
info: exibe estruturas OLE, offset, extrai macro VB
inflate: descompacta Office 2007 para temp dir
6 Aula 19
Lab 11-01
Análise de documento Office malicioso
Material necessário:
7 Aula 19
Analisando PDF malicioso
Portable Document Format
linguagem de descrição de página
vulnerabilidade do leitor é alvo dos atacante
possui objetos assim como o Office
cada objeto tem um número e versão, ex: 1 0
podem referenciar outros objetos, ex: 2 0 R
JavaScript embutido usado pra explorar vulnerabilidade
executa comandos no computador
download de malwares é o mais comum
8 Aula 19
Analisando PDF malicioso
objetos mais comuns:
Material necessário:
Máquina virtual com Windows XP 32-bit
Python 2.7
pdfid.py
PDF Stream Dumper
Arquivo: Lab-11-02.rar
11 Aula 19
Obrigado!
12 Aula 19