GRTE - GCP Red Team Expert

Energize your cloud security career by obtaining the prestigious HackTricks GRTE (GCP Red Team Expert) certification. This highly sought-after credential validates your expertise in GCP security and red teaming, standing out in the field and opening up new career opportunities

Get certified!

Análise de arquivos do Office

Reading time: 2 minutes

Para mais informações, consulte https://trailofbits.github.io/ctf/forensics/. Este é apenas um resumo:

A Microsoft criou muitos formatos de documentos do Office, com dois tipos principais sendo formatos OLE (como RTF, DOC, XLS, PPT) e formatos Office Open XML (OOXML) (como DOCX, XLSX, PPTX). Esses formatos podem incluir macros, tornando-os alvos para phishing e malware. Arquivos OOXML são estruturados como contêineres zip, permitindo inspeção através da descompactação, revelando a hierarquia de arquivos e pastas e o conteúdo dos arquivos XML.

Para explorar as estruturas de arquivos OOXML, o comando para descompactar um documento e a estrutura de saída são fornecidos. Técnicas para ocultar dados nesses arquivos foram documentadas, indicando inovação contínua na ocultação de dados dentro dos desafios CTF.

Para análise, oletools e OfficeDissector oferecem conjuntos de ferramentas abrangentes para examinar documentos OLE e OOXML. Essas ferramentas ajudam a identificar e analisar macros incorporadas, que muitas vezes servem como vetores para entrega de malware, tipicamente baixando e executando cargas maliciosas adicionais. A análise de macros VBA pode ser realizada sem o Microsoft Office utilizando o Libre Office, que permite depuração com pontos de interrupção e variáveis de observação.

A instalação e o uso de oletools são diretos, com comandos fornecidos para instalação via pip e extração de macros de documentos. A execução automática de macros é acionada por funções como AutoOpen, AutoExec ou Document_Open.

sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros