详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码恶意软件,并通过宏来启动恶意软件,这样做主要是为了绕过杀软的检测点。

详细分析

首先打开文档会看到要启动宏提示,说明是有宏代码的,兰云科技提醒大家再没有明确确认的情况下,不要随便点击office下面的提示。

下面打开宏代码进行分析发现里面的宏代码是加了密码的。

通过脚本对密码进行替换,成功读取到了其中的宏代码。

可以看到样本会获取ShellExecuteA 和GetTempPathA两个API进行备用。

再获取API后,使用宏代码激活样本中的OLE对象。

可以看到样本中有个OLE对象当宏代码激活时会释放到临时文件夹中。

再将这个文件释放到临时文件中后,样本会调用GYUODS函数。

这个函数主要会调用GetTempPath 来获取临时文件夹路径。

在获取了临时文件夹后,拼接出OLE对象的路径 \Temp\WORD.VRE。

在拼接出以后开始调用 certutil.exe 进行对WORD,VRE进行解码。

下图为WORD.VRE被编码的格式。

certutil.exe 是微软自带的软件,阅读原文查看官方的介绍

其中的decode和encode可以实现对一个文件进行Base64的编码和解码。

在解码完WORD,VRE成VRE.exe后,最后调用执行。

可以简单看下 VRE.EXE先通过启动IE进程并将恶意代码注入IE进程。

并设置开机自启动。

连接的C&C地址为193.138.223.44。

总结

恶意软件通过一些绕过杀软的技术来实现最终的恶意软件的注入和释放,对于宏病毒,大家还是需要提起注意。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。

1383
来自专栏黑白安全

针对某mysql批量提权工具的后门分析

Windows小马下载地址三个......VBS执行脚本1个   linux小马下载地址连个.....

922
来自专栏FreeBuf

GitHub现VMware虚拟机逃逸Exploit,利用三月曝光的CVE-2017-4901漏洞

今年的Pwn2Own大赛后,VMware近期针对其ESXi、Wordstation和Fusion部分产品发布更新,修复在黑客大赛中揭露的一些高危漏洞。事实上在大...

3967
来自专栏FreeBuf

暗云Ⅲ BootKit 木马分析

概况 “暗云”系列木马自2015年初被腾讯反病毒实验室首次捕获并查杀,至今已有2年多。在这两年多时间里,该木马不断更新迭代,持续对抗升级。 从今年4月开始,该木...

6527
来自专栏安恒网络空间安全讲武堂

RFID技术|门禁卡破解|IC卡破解学习过程

安全不仅仅包含网络上的安全,在我们实际生活中也同样存在很多个安全相关的事物,可以说跟科技扯上关系的事物都会有安全问题,无线,蓝牙,手机,无人机,汽车。真正有问题...

40.8K5
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

3282
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-7 FF6B归档凭证记录

4.2 FF6B归档凭证记录 使用该事务管理现金状态和流动预测的计划凭证记录。系统在清单中显示这些凭证记录。还可以选择单个记录进行显示和修改。 在该清单中,可选...

2695
来自专栏ml

Linux下如何查看自己的服务器有没有无线网卡

还是实验室那台破服务器,连不上网。有没有界面,所以想着如何用一些命令来链接上 热点。 当然,在linux下链接wifi没有win下那么一点就好了! ...

5225
来自专栏信安之路

模拟挖矿黑客攻击过程

眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS...

2420
来自专栏逸鹏说道

平安证券自主开户客户端存在任意用户信息篡改漏洞

详细说明: 1、打开应用点击“马上开户”-“我知道了”,登录账户 2、未注册过的手机登录时,验证码可爆破。但是这个只是任意用户注册,是另外一个漏洞了。 3、...

3086

扫码关注云+社区

领取腾讯云代金券