mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
2.3 KiB
2.3 KiB
Extracting IoC from .doc file(Emotet)
解析環境をあまり汚さないかつ簡潔な手法を示す
- Sample/Required Tools
- Flow
- Reference
Sample/Required Tools
- Sample
sha256 | 256 14445473a8b471e550c9e36677223a3d0ffb017647dc8d7a01ae88efd1b993ac |
---|---|
file type | .doc |
sandbox | ANYRUN HYBRID ANALYSIS |
- Required Tools
- Windows Machine
- CMD Watcher
Flow
- CMD Watcherを起動し,Startを押下
- .docファイルを開き,「コンテンツの有効化」を押下
- マクロによって実行されるpowershellコマンドがCMD Watcherに出力されるため,そこからBase64でエンコードされた文字列をコピーする
(コマンドをキャプチャしたときにPowerShellプロセスを強制終了させるので解析環境はあまり汚さないですむ)
- Cyberchefを利用して,Base64でエンコードされた文字列をデコードし,IoC(URL)のみを出力させる
- レシピの内容として必要なのは以下
- Base64のデコード
- null文字の除去
- 正規表現によるURLの抽出
- Base64からIoCを取得するレシピの例はこちら
Reference
How To: Extract Network Indicators of Compromise (IOCs) from Maldoc Macros — Part 2