1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
mether049-malware/Emotet/extracting_ioc_from_doc2.md
2020-03-01 14:01:51 +00:00

56 lines
3.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Extracting IoC from .doc file 2
- 解析環境をあまり汚さないかつ簡潔な手法を示す
- インターネットとの接続は切断しておく
- 複数のファイルから同時にIoC(URL)を取得する方法を示す
## Sample/Required Tools
- Sample
|sha256|1.[1C3AFD309D4861152D2C543CA46A7BB052901BDFD990B5C07E1CAB509AAB9272](https://www.virustotal.com/gui/file/1c3afd309d4861152d2c543ca46a7bb052901bdfd990b5c07e1cab509aab9272/detection)<br>2.[C963C83BC1FA7D5378C453463CE990D85858B7F96C08E9012A7AD72EA063F31E](https://www.virustotal.com/gui/file/c963c83bc1fa7d5378c453463ce990d85858b7f96c08e9012a7ad72ea063f31e/detection)|
|:-|:-|
|file type|.doc|
|sandbox|1.[ANYRUN](https://app.any.run/tasks/a9ad1964-e95d-44dd-bab4-640f2efa199f/)<br>1.[HYBRID ANALYSIS](https://hybrid-analysis.com/sample/1c3afd309d4861152d2c543ca46a7bb052901bdfd990b5c07e1cab509aab9272/5e28052e376fa248951472fbb)<br>2.[ANURUN](https://app.any.run/tasks/d72572c7-2dc5-432e-97e6-762828f37296/)<br>2.[HUBRID ANALYSIS](https://www.hybrid-analysis.com/sample/c963c83bc1fa7d5378c453463ce990d85858b7f96c08e9012a7ad72ea063f31e/5e37c319255f1566ab288ebe)|
- Required Tools
- Windows Machine
- [Fiddler](https://www.telerik.com/fiddler)
## Flow
1. Fiddlerを起動する
2. Wordで警告なしでマクロが実行されるように設定する
- ファイル->オプション->[セキュリティセンター]もしくは[トラストセンター]を選択
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/security1.PNG?raw=true)
- セキュリティセンターの設定を押下
![]()
- マクロの設定で[すべてのマクロを有効にする]を選択
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/security2.PNG?raw=true)
3. フォルダに複数のdocファイルを配置し全てを選択して開く
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/maldoc1.PNG?raw=true)
4. 各docファイルからマクロが実行されPowershellからURLへのアクセスがFiddler上で確認できる
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result1.PNG?raw=true)
5. フィールド名Processを右クリックし[Search this column...]を選択しpowershellと入力
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result2.PNG?raw=true)
6. powershellプロセスによって発生したリクエストが全て選択された状態になるためCtrl+uを押し,全てのURLをコピーする
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result3.PNG?raw=true)
7. textエディターなどで貼り付ける
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/result4.PNG?raw=true)
追記:
- Emotet関連のdocファイルのみでなくUrsnif関連のdocファイルでも有効であることを確認している
![](https://github.com/mether049/malware/blob/master/Emotet/img/Extracting%20IoC%20from%20.doc%20file%202/ursnif.PNG?raw=true)
## Reference
[A Method To Extract Emotet Payload URLs](https://executemalware.com/?p=540)