1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
This commit is contained in:
HackMD 2020-03-01 14:01:51 +00:00
parent 8584d14eeb
commit 46edd5e36e

View File

@ -1 +1,56 @@
# Extracting IoC from .doc file 2
- 解析環境をあまり汚さないかつ簡潔な手法を示す
- インターネットとの接続は切断しておく
- 複数のファイルから同時にIoC(URL)を取得する方法を示す
## Sample/Required Tools
- Sample
|sha256|1.[1C3AFD309D4861152D2C543CA46A7BB052901BDFD990B5C07E1CAB509AAB9272](https://www.virustotal.com/gui/file/1c3afd309d4861152d2c543ca46a7bb052901bdfd990b5c07e1cab509aab9272/detection)<br>2.[C963C83BC1FA7D5378C453463CE990D85858B7F96C08E9012A7AD72EA063F31E](https://www.virustotal.com/gui/file/c963c83bc1fa7d5378c453463ce990d85858b7f96c08e9012a7ad72ea063f31e/detection)|
|:-|:-|
|file type|.doc|
|sandbox|1.[ANYRUN](https://app.any.run/tasks/a9ad1964-e95d-44dd-bab4-640f2efa199f/)<br>1.[HYBRID ANALYSIS](https://hybrid-analysis.com/sample/1c3afd309d4861152d2c543ca46a7bb052901bdfd990b5c07e1cab509aab9272/5e28052e376fa248951472fbb)<br>2.[ANURUN](https://app.any.run/tasks/d72572c7-2dc5-432e-97e6-762828f37296/)<br>2.[HUBRID ANALYSIS](https://www.hybrid-analysis.com/sample/c963c83bc1fa7d5378c453463ce990d85858b7f96c08e9012a7ad72ea063f31e/5e37c319255f1566ab288ebe)|
- Required Tools
- Windows Machine
- [Fiddler](https://www.telerik.com/fiddler)
## Flow
1. Fiddlerを起動する
2. Wordで警告なしでマクロが実行されるように設定する
- ファイル->オプション->[セキュリティセンター]もしくは[トラストセンター]を選択
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/security1.PNG?raw=true)
- セキュリティセンターの設定を押下
![]()
- マクロの設定で[すべてのマクロを有効にする]を選択
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/security2.PNG?raw=true)
3. フォルダに複数のdocファイルを配置し全てを選択して開く
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/maldoc1.PNG?raw=true)
4. 各docファイルからマクロが実行されPowershellからURLへのアクセスがFiddler上で確認できる
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result1.PNG?raw=true)
5. フィールド名Processを右クリックし[Search this column...]を選択しpowershellと入力
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result2.PNG?raw=true)
6. powershellプロセスによって発生したリクエストが全て選択された状態になるためCtrl+uを押し,全てのURLをコピーする
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result3.PNG?raw=true)
7. textエディターなどで貼り付ける
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result4.PNG?raw=true)
追記:
- Emotet関連のdocファイルのみでなくUrsnif関連のdocファイルでも有効であることを確認している
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/ursnif.PNG?raw=true)
## Reference
[A Method To Extract Emotet Payload URLs](https://executemalware.com/?p=540)