nganhkhoa/mether049-malware
1
0
Fork 0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
Code Issues Projects Releases Wiki Activity
master
mether049-malware/Emotet/extracting_ioc_from_doc2.md
HackMD 46edd5e36e first
2020-03-01 14:01:51 +00:00

3.3 KiB
Raw Permalink Blame History

Extracting IoC from .doc file 2

  • 解析環境をあまり汚さないかつ簡潔な手法を示す
    • インターネットとの接続は切断しておく
  • 複数のファイルから同時にIoC(URL)を取得する方法を示す

Sample/Required Tools

  • Sample
sha256 1.1C3AFD309D4861152D2C543CA46A7BB052901BDFD990B5C07E1CAB509AAB9272
2.C963C83BC1FA7D5378C453463CE990D85858B7F96C08E9012A7AD72EA063F31E
file type .doc
sandbox 1.ANYRUN
1.HYBRID ANALYSIS
2.ANURUN
2.HUBRID ANALYSIS
  • Required Tools

Flow

  1. Fiddlerを起動する

  2. Wordで警告なしでマクロが実行されるように設定する

  • ファイル->オプション->[セキュリティセンター]もしくは[トラストセンター]を選択
  • セキュリティセンターの設定を押下
  • マクロの設定で[すべてのマクロを有効にする]を選択
  1. フォルダに複数のdocファイルを配置し全てを選択して開く

  1. 各docファイルからマクロが実行されPowershellからURLへのアクセスがFiddler上で確認できる

  1. フィールド名Processを右クリックし[Search this column...]を選択しpowershellと入力

  1. powershellプロセスによって発生したリクエストが全て選択された状態になるためCtrl+uを押し,全てのURLをコピーする

  1. textエディターなどで貼り付ける

追記:

  • Emotet関連のdocファイルのみでなくUrsnif関連のdocファイルでも有効であることを確認している

Reference

A Method To Extract Emotet Payload URLs