Topic

Bron

Leestijd 1 min

Ik heb een kwaadaardig Office document gevonden met VBA code waar de meeste identifiers (variabelen, functienamen, ...) enkel bestaan uit karakters die geen ASCII zijn (.b.v., deze karakters hebben waarden tussen 128 en 255). Als je de VBA code bekijkt met oledump.py, krijg je dit: Dit is geen ongeldige VBA-code, dit is code waarin veel van de variabelenamen en functienamen bestaan uit identifiers die uitsluitend bestaan uit ANSI-tekens met de high-bit set, bijv. niet-ASCII-tekens. Het is moeilijk te lezen, maar mijn oledump plugin plugin_vba_dco kan hier helpen. Het is een plugin die VBA broncode scant op verklaringen als declare, createobject, getobject, ..., en zoekt naar regels code met de identifiers van deze verklaringen. Het is nog steeds moeilijk te lezen, maar men kan nu de CreateObject verklaringen zien, en begrijpen dat dit een downloader is (microsoft.xmlhttp, ...). Om dit leesbaarder te maken, heb ik een update gemaakt van plugin_vba_dco. Wanneer je de nieuwe plugin optie "-g" gebruikt, zullen alle identifiers "gegeneraliseerd" worden: ze zullen vervangen worden door de strings Identifier0001, Identifier0002, Identifier0003, ... Wat een belangrijk verschil maakt wanneer je deze VBA code probeert te lezen: En nu valt een vervuilde URL op. Identifier0015 is de string deobfuscation routine. Het komt niet voor in dit overzicht, maar men kan alle gegeneraliseerde code opvragen (en niet alleen de statements die horen bij Declare, CreateObject, ...) door de plugin optie -a te gebruiken: Identifier0017 en Identifier0018 vallen op: deze lijken op een karakter-vertalingstabel.

25 dagen geleden - isc.sans.edu

Korte versie

In onze serie brieven van Afrikaanse journalisten kijkt Chris Stokel-Walker van de BBC naar een kwetsbaarheid in VBA.

Uitgebreide versie

Ik heb een kwaadaardig Office document gevonden met VBA code waar de meeste identifiers (variabelen, functienamen, ...) enkel bestaan uit karakters die geen ASCII zijn (.b.v., deze karakters hebben waarden tussen 128 en 255). Het is een plugin die VBA broncode scant op verklaringen als declare, createobject, getobject, ..., en zoekt naar regels code met de identifiers van deze verklaringen. Het is nog steeds moeilijk te lezen, maar men kan nu de CreateObject verklaringen zien, en begrijpen dat dit een downloader is (microsoft.xmlhttp, ...).

Vergelijkbare publicaties

In het artikel genoemde namen van organisaties

article image

Gevonden topics

cloud

41%