Ανάλυση αρχείων Office

Reading time: 3 minutes

Για περισσότερες πληροφορίες, ελέγξτε https://trailofbits.github.io/ctf/forensics/. Αυτό είναι απλώς μια σύνοψη:

Η Microsoft έχει δημιουργήσει πολλούς τύπους εγγράφων office, με δύο κύριους τύπους να είναι οι OLE formats (όπως RTF, DOC, XLS, PPT) και οι Office Open XML (OOXML) formats (όπως DOCX, XLSX, PPTX). Αυτοί οι τύποι μπορούν να περιλαμβάνουν μακροεντολές, καθιστώντας τους στόχους για phishing και κακόβουλο λογισμικό. Τα αρχεία OOXML είναι δομημένα ως zip containers, επιτρέποντας την επιθεώρηση μέσω αποσυμπίεσης, αποκαλύπτοντας τη δομή αρχείων και φακέλων και το περιεχόμενο των αρχείων XML.

Για να εξερευνήσετε τις δομές αρχείων OOXML, δίνονται η εντολή για αποσυμπίεση ενός εγγράφου και η δομή εξόδου. Τεχνικές για την απόκρυψη δεδομένων σε αυτά τα αρχεία έχουν τεκμηριωθεί, υποδεικνύοντας συνεχιζόμενη καινοτομία στην απόκρυψη δεδομένων εντός προκλήσεων CTF.

Για ανάλυση, τα oletools και OfficeDissector προσφέρουν ολοκληρωμένα σύνολα εργαλείων για την εξέταση τόσο των εγγράφων OLE όσο και των OOXML. Αυτά τα εργαλεία βοηθούν στην αναγνώριση και ανάλυση ενσωματωμένων μακροεντολών, οι οποίες συχνά χρησιμεύουν ως διαδρομές για την παράδοση κακόβουλου λογισμικού, συνήθως κατεβάζοντας και εκτελώντας επιπλέον κακόβουλα payloads. Η ανάλυση των VBA μακροεντολών μπορεί να διεξαχθεί χωρίς Microsoft Office χρησιμοποιώντας το Libre Office, το οποίο επιτρέπει την αποσφαλμάτωση με σημεία διακοπής και παρακολουθούμενες μεταβλητές.

Η εγκατάσταση και η χρήση των oletools είναι απλή, με εντολές που παρέχονται για την εγκατάσταση μέσω pip και την εξαγωγή μακροεντολών από έγγραφα. Η αυτόματη εκτέλεση των μακροεντολών ενεργοποιείται από συναρτήσεις όπως AutoOpen, AutoExec ή Document_Open.

sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros