1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
mether049-malware/Emotet/extracting_ioc_from_doc.md
2020-01-04 01:10:06 +09:00

2.3 KiB
Raw Blame History

Extracting IoC from .doc file(Emotet)

解析環境をあまり汚さないかつ簡潔な手法を示す

  • Sample/Required Tools
  • Flow
  • Reference

Sample/Required Tools

  • Sample
sha256 256 14445473a8b471e550c9e36677223a3d0ffb017647dc8d7a01ae88efd1b993ac
file type .doc
sandbox ANYRUN
HYBRID ANALYSIS

Flow

  1. CMD Watcherを起動しStartを押下

  1. .docファイルを開き「コンテンツの有効化」を押下

  1. マクロによって実行されるpowershellコマンドがCMD Watcherに出力されるためそこからBase64でエンコードされた文字列をコピーする
    (コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ)

  1. Cyberchefを利用してBase64でエンコードされた文字列をデコードしIoC(URL)のみを出力させる
  • レシピの内容として必要なのは以下
    • Base64のデコード
    • null文字の除去
    • 正規表現によるURLの抽出
  • Base64からIoCを取得するレシピの例はこちら

Reference

How To: Extract Network Indicators of Compromise (IOCs) from Maldoc Macros — Part 2