Аналіз офісних файлів

Reading time: 2 minutes

Для отримання додаткової інформації перевірте https://trailofbits.github.io/ctf/forensics/. Це лише короткий огляд:

Microsoft створила багато форматів офісних документів, з яких два основні типи - OLE формати (такі як RTF, DOC, XLS, PPT) та Office Open XML (OOXML) формати (такі як DOCX, XLSX, PPTX). Ці формати можуть містити макроси, що робить їх цілями для фішингу та шкідливого ПЗ. Файли OOXML структуровані як zip-контейнери, що дозволяє їх перевірку шляхом розпакування, виявляючи ієрархію файлів і папок та вміст XML-файлів.

Щоб дослідити структури файлів OOXML, наведено команду для розпакування документа та структуру виходу. Техніки приховування даних у цих файлах були задокументовані, що вказує на постійні інновації в приховуванні даних у CTF викликах.

Для аналізу oletools та OfficeDissector пропонують комплексні набори інструментів для вивчення як OLE, так і OOXML документів. Ці інструменти допомагають у виявленні та аналізі вбудованих макросів, які часто слугують векторами для доставки шкідливого ПЗ, зазвичай завантажуючи та виконуючи додаткові шкідливі вантажі. Аналіз VBA макросів можна проводити без Microsoft Office, використовуючи Libre Office, що дозволяє налагоджувати з точками зупинки та змінними спостереження.

Встановлення та використання oletools є простими, з командами, наданими для встановлення через pip та витягування макросів з документів. Автоматичне виконання макросів викликається такими функціями, як AutoOpen, AutoExec або Document_Open.

sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros