详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码恶意软件,并通过宏来启动恶意软件,这样做主要是为了绕过杀软的检测点。

详细分析

首先打开文档会看到要启动宏提示,说明是有宏代码的,兰云科技提醒大家再没有明确确认的情况下,不要随便点击office下面的提示。

下面打开宏代码进行分析发现里面的宏代码是加了密码的。

通过脚本对密码进行替换,成功读取到了其中的宏代码。

可以看到样本会获取ShellExecuteA 和GetTempPathA两个API进行备用。

再获取API后,使用宏代码激活样本中的OLE对象。

可以看到样本中有个OLE对象当宏代码激活时会释放到临时文件夹中。

再将这个文件释放到临时文件中后,样本会调用GYUODS函数。

这个函数主要会调用GetTempPath 来获取临时文件夹路径。

在获取了临时文件夹后,拼接出OLE对象的路径 \Temp\WORD.VRE。

在拼接出以后开始调用 certutil.exe 进行对WORD,VRE进行解码。

下图为WORD.VRE被编码的格式。

certutil.exe 是微软自带的软件,阅读原文查看官方的介绍

其中的decode和encode可以实现对一个文件进行Base64的编码和解码。

在解码完WORD,VRE成VRE.exe后,最后调用执行。

可以简单看下 VRE.EXE先通过启动IE进程并将恶意代码注入IE进程。

并设置开机自启动。

连接的C&C地址为193.138.223.44。

总结

恶意软件通过一些绕过杀软的技术来实现最终的恶意软件的注入和释放,对于宏病毒,大家还是需要提起注意。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

攻击中东欧的间谍工具集

图1 在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术...

21810
来自专栏FreeBuf

GitHub现VMware虚拟机逃逸Exploit,利用三月曝光的CVE-2017-4901漏洞

今年的Pwn2Own大赛后,VMware近期针对其ESXi、Wordstation和Fusion部分产品发布更新,修复在黑客大赛中揭露的一些高危漏洞。事实上在大...

3617
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-7 FF6B归档凭证记录

4.2 FF6B归档凭证记录 使用该事务管理现金状态和流动预测的计划凭证记录。系统在清单中显示这些凭证记录。还可以选择单个记录进行显示和修改。 在该清单中,可选...

2545
来自专栏丿King科技-老李博客

服务器SSH暴力破解的解读与防御

刚才一看 IP地址为43.254.168.235 这位兄弟在用暴力破解跑字典攻击服务器 所以想起来,发一篇这样的文章,也是提醒下广大站长。

1973
来自专栏FreeBuf

攻击者侵入系统后如何提升账户权限:提权技术详细分析

提权 通常而言,恶意攻击者侵入到某个系统最初往往只能获取到一个普通权限的账户。但这无疑给进一步的渗透带来了阻碍,因此攻击者会开始尝试通过各种手段来提升自己的账户...

3223
来自专栏desperate633

Python爬虫之robots协议案例

意思就是 对于所有的user-agent: 不可以访问一下url Disallow: /?* Disallow: /pop/.html Disallo...

912
来自专栏信安之路

模拟挖矿黑客攻击过程

眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS...

1890
来自专栏信安之路

windows 应急流程及实战演练

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵...

4594
来自专栏FreeBuf

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。

1233
来自专栏安恒网络空间安全讲武堂

RFID技术|门禁卡破解|IC卡破解学习过程

安全不仅仅包含网络上的安全,在我们实际生活中也同样存在很多个安全相关的事物,可以说跟科技扯上关系的事物都会有安全问题,无线,蓝牙,手机,无人机,汽车。真正有问题...

29K4

扫码关注云+社区