diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index d4ab906..01f934b 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -433,6 +433,47 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record dig whoami.akamai.net @ns1-1.akamaitech.net ``` +# maldoc +## Obfuscation/Encryption +- ドキュメントテキスト,スプレッドシートのセル,ファイルプロパティ,VBA forms,etc.の中にデータを隠す +- [Variable Object(Word)](https://msdn.microsoft.com/library/office/ff839708.aspx)の利用 +- [CallByName関数](https://msdn.microsoft.com/en-us/library/office/gg278760.aspx)の利用 +- ファイルの暗号化(Office 2007 or later) + - VelvetSweatshopの利用(Only Excel) + - ExcelでパスワードにVelvetSweatshopを設定して暗号化すると,パスワード入力要求を表示せずにファイルを開くことができる + - VelvetSweatshopはExcelのデフォルトパスワードとして利用されており,まずこのパスワードを利用してファイルを復号しようと試みる + - LibreOfficeでも同様 +- [VBad](https://github.com/Pepitoh/VBad)の利用 + - VBAの難読化・暗号化ツール + - 関数名や文字列の難読化,暗号化 + - Tab,Spaceの削除 + - 偽の鍵の追加 + - 異なるハッシュ値のファイル生成 + - VBA Developper Toolからの隠蔽 + - ref: + - [Re: Hidden malicious modules in MS VBA (Visual Basic for Applications](https://seclists.org/fulldisclosure/2017/Mar/90) +## VBA Stomping +- VBAソースコードを削除し,VBAコードをコンパイルしたp-code(中間コード)のみファイル内に残す +- VBAソースコードによる検出を回避する +- VBAのソースコードは0クリアして削除可能 +- p-codeに対してはdebuggerでの解析が困難 +- [EvilClippy](https://github.com/outflanknl/EvilClippy) + - VBA Stompingを行うツール + - Locked / Unviewable属性の設定や削除も可能(保護機能) +- ref: + - [VBA Stomping — Advanced Maldoc Techniques](https://medium.com/walmartlabs/vba-stomping-advanced-maldoc-techniques-612c484ab278) + - [Example VBA Stomped Documents Repository](https://github.com/clr2of8/VBAstomp) + - [VBA Project Locked; Project is Unviewable](https://medium.com/walmartlabs/vba-project-locked-project-is-unviewable-4d6a0b2e7cac) +- Execution of another process +- WMI +- PowerShell +- cmd.exe +- VBS,JavaScript(cscript,wscript,mshta) +- shell code +- ref: +- [17JAN2017 - Abusing native Windows functions for shellcode execution](http://ropgadget.com/posts/abusing_win_functions.html) +- [Evasive VBA — Advanced Maldoc Techniques](https://medium.com/walmartlabs/evasive-vba-advanced-maldoc-techniques-1365e9373f80) + # Shell Backdoor - Web Shell等