mether049-malware/Emotet/extracting_ioc_from_doc2.md

# Extracting IoC from .doc file 2
- 解析環境をあまり汚さないかつ簡潔な手法を示す
    - インターネットとの接続は切断しておく
- 複数のファイルから同時にIoC(URL)を取得する方法を示す

## Sample/Required Tools
- Sample

|sha256|1.[1C3AFD309D4861152D2C543CA46A7BB052901BDFD990B5C07E1CAB509AAB9272](https://www.virustotal.com/gui/file/1c3afd309d4861152d2c543ca46a7bb052901bdfd990b5c07e1cab509aab9272/detection)<br>2.[C963C83BC1FA7D5378C453463CE990D85858B7F96C08E9012A7AD72EA063F31E](https://www.virustotal.com/gui/file/c963c83bc1fa7d5378c453463ce990d85858b7f96c08e9012a7ad72ea063f31e/detection)|
|:-|:-|
|file type|.doc|
|sandbox|1.[ANYRUN](https://app.any.run/tasks/a9ad1964-e95d-44dd-bab4-640f2efa199f/)<br>1.[HYBRID ANALYSIS](https://hybrid-analysis.com/sample/1c3afd309d4861152d2c543ca46a7bb052901bdfd990b5c07e1cab509aab9272/5e28052e376fa248951472fbb)<br>2.[ANURUN](https://app.any.run/tasks/d72572c7-2dc5-432e-97e6-762828f37296/)<br>2.[HUBRID ANALYSIS](https://www.hybrid-analysis.com/sample/c963c83bc1fa7d5378c453463ce990d85858b7f96c08e9012a7ad72ea063f31e/5e37c319255f1566ab288ebe)|

- Required Tools
    - Windows Machine
    - [Fiddler](https://www.telerik.com/fiddler)


## Flow
1. Fiddlerを起動する

2. Wordで警告なしでマクロが実行されるように設定する
 - ファイル->オプション->[セキュリティセンター]もしくは[トラストセンター]を選択
 ![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/security1.PNG?raw=true)
 - セキュリティセンターの設定を押下
 ![]()
 - マクロの設定で[すべてのマクロを有効にする]を選択
 ![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/security2.PNG?raw=true)

3. フォルダに複数のdocファイルを配置し，全てを選択して開く

![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/maldoc1.PNG?raw=true)

4. 各docファイルからマクロが実行され，PowershellからURLへのアクセスがFiddler上で確認できる

![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result1.PNG?raw=true)

5. フィールド名Processを右クリックし[Search this column...]を選択し，powershellと入力

![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result2.PNG?raw=true)

6. powershellプロセスによって発生したリクエストが全て選択された状態になるため，Ctrl+uを押し,全てのURLをコピーする

![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result3.PNG?raw=true)

7. textエディターなどで貼り付ける

![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result4.PNG?raw=true)

追記:
- Emotet関連のdocファイルのみでなく，Ursnif関連のdocファイルでも有効であることを確認している
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/ursnif.PNG?raw=true)


## Reference
[A Method To Extract Emotet Payload URLs](https://executemalware.com/?p=540)