Dieses Forum nutzt Cookies
Dieses Forum verwendet Cookies, um deine Login-Informationen zu speichern, wenn du registriert bist, und deinen letzten Besuch, wenn du es nicht bist. Cookies sind kleine Textdokumente, die auf deinem Computer gespeichert werden. Die von diesem Forum gesetzten Cookies werden nur auf dieser Website verwendet und stellen kein Sicherheitsrisiko dar. Cookies aus diesem Forum speichern auch die spezifischen Themen, die du gelesen hast und wann du zum letzten Mal gelesen hast. Bitte bestätige, ob du diese Cookies akzeptierst oder ablehnst.

Ein Cookie wird in deinem Browser unabhängig von der Wahl gespeichert, um zu verhindern, dass dir diese Frage erneut gestellt wird. Du kannst deine Cookie-Einstellungen jederzeit über den Link in der Fußzeile ändern.

Welche Sprache?
#1
Hallo,

könntet ihr bitte die Frage am kommenden Montag wieder löschen?

In einer Datenbank mit MS-Office Viren habe ich einige Dateien, xlsx und xls, gefunden, bei denen ich nicht einmal im Ansatz erkennen kann, was da passieren soll. Es gibt für mich keine sichtbaren ausführbaren Codes, weder VBA, Excel4Makro noch ein OLEObject.

Die Analyse wurde auf einem Raspberry Pi, also Linux, mit LibreOffice durchgeführt.

Fragen:

- welcher aktive Code / Scriptsprache könnte enthalten sein
- wie analysiert man das

Hier die bisherigen findings: (der Dateiname wurde gekürzt, damit Google das nicht findet)



1422... etc.xlsx

325 kB

zipdump failed -f l ohne Ergebnis (in diesem Fall kein manipuliertes Zip-Archiv)

python3 oledump.py Virus/xlsx/1422... etc.xlsx
  1:      4096 '\x05DocumentSummaryInformation'
  2:      4096 '\x05SummaryInformation'
  3:    320616 'Workbook'

MAGIC-BYTES: (von xls)
head -c 32 1422... etc.xlsx | xxd
00000000: d0cf 11e0 a1b1 1ae1 0000 0000 0000 0000  ................
00000010: 0000 0000 0000 0000 3e00 0300 feff 0900  ........>.......


unzip: 7z e 142...xlsx
-rw-r--r--  1 pi pi  4096 Jul  2 18:42 [5]DocumentSummaryInformation
-rw-r--r--  1 pi pi  4096 Jul  2 18:42 [5]SummaryInformation
-rw-r--r--  1 pi pi 320616 Jul  2 18:42 Workbook

head -c 200 Workbook | xxd
00000000: 0908 1000 0006 0500 5a4f cd07 c900 0200  ........ZO......
00000010: 0608 0000 2f00 c800 0100 0400 0200 0c00  ..../...........
00000020: 0000 7e00 0000 0c00 0000 0000 0000 0168  ..~............h
00000030: 0000 0480 0000 8000 0000 0100 0000 0000  ................
00000040: 0000 0000 0000 4d00 6900 6300 7200 6f00  ......M.i.c.r.o.
00000050: 7300 6f00 6600 7400 2000 4500 6e00 6800  s.o.f.t. .E.n.h.
00000060: 6100 6e00 6300 6500 6400 2000 4300 7200  a.n.c.e.d. .C.r.
00000070: 7900 7000 7400 6f00 6700 7200 6100 7000  y.p.t.o.g.r.a.p.
00000080: 6800 6900 6300 2000 5000 7200 6f00 7600  h.i.c. .P.r.o.v.
00000090: 6900 6400 6500 7200 2000 7600 3100 2e00  i.d.e.r. .v.1...
000000a0: 3000 0000 1000 0000 8c35 a9f1 9317 c3a2  0........5......
000000b0: 19be 345c 2d24 e826 fe8e fd68 b139 209e  ..4\-$.&...h.9 .
000000c0: 1768 80a4 5671 40a1                      .h..Vq@.

strings -2 Workbook | grep MZ
NMZ1
MZ

-------------------------------------------------
------------- Open with LibreOffice -------------

Untititled1 - LibreOffice Calc

24 sheets

Names: Excel_BuiltIn_Auto_Open $Sheet1.$M$8 (->leer)

einzig sichtbares Sheet: Arrow der Clipart, Please Click Enable Content to view the document

kein VBProject, MakroSheet


---------------------------------------------------------------

Sheets("SNCWNERc")
346 Cells
Y, m, 0, 0, U, C, m, ., 0, 0, R, l, k, L, L, t, i, o, q, v, 0, 0, f, S, h, r, n, \, E, e, s, 0,       usw

Sheets("IJegpNuY")
345 Cells
Beispiele: GYVrOmeamDSnbkIDgi
XvCxKNbwyI
KjolwzPkluFz
PVowmSNOMRCuCgIsJ
aTElnIkpDzivV
HDOfgCENkR
YDQPfildCRKtceybgtE
vPuTkLkv
XOcmV
Antwortento top
#2
Hallo Fen,

sogar csv-Dateien können zum Angriff verwendet werden:
csv-injection 1
csv-injection 2

Denkbar wären auch Angriffe auf das Programm selbst, das eventuell für einen Pufferüberlauf anfällig ist, wenn in der Datei etwas steht, was so nicht gedacht war ...
Gruß
Michael
Antwortento top
#3
Danke.

Bis auf einen (cmd calk.exe) kannte ich diese Injections noch nicht.

Allerdings hatte damals Norton schnell gelernt diese Injections zu erkennen und in Quarantäne zu schicken.
Antwortento top
#4
Hier nochmal ein Link anlässlich eines MS Patchdays: https://www.pcwelt.de/news/Microsoft-bes...09730.html
Zitat:Eine Excel-Schwachstelle (CVE-2020-0901) kann es einem Angreifer ermöglichen, mit Hilfe speziell präparierter Office-Dokumente beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen.
Gruß
Michael
Antwortento top
#5
Youtube half (Security Channel, von heute) mit einer Anleitung für Virustotal.com

Zitat:Virustotal:
Creation Time 2018-02-18 06:29:00
First Submission 2020-07-02 18:30:52
Last Submission 2020-07-02 18:30:52
Last Analysis 2020-07-03 05:19:36

path: \\?\C:\Windows\SysWOW64\explorer.exe, commandline: explorer.exe C:\Users\\tD8BW.vbs

[info] Excel Macrosheet: Document contains Excel 4.0 macros (XLM). A valid, albeit dated feature, this document should be treated with suspicion.

Also:

- sehr aktuell
- 3 von 60 AV detektierten
- Macro 4 in XLM

In den letzten 2 Tagen hatte ich 4 ähnliche Versionen down-ge-loaded, alle mit anderen strings. Die sind offensichtlich nicht relevant. 

Es ärgert mich, dass ich nicht die CLSID für XLA auslesen konnte.

Das nächste Mal werde ich gleich bei Virustotall nachsehen.

Danke fürs lesen.

mfg
Antwortento top


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste