Cách phát hiện các tập tin office có chứa mã độc

Chào mọi người, hôm nay mình xin chia sẻ 1 bài viết về cách phát hiện mã độc chứa trong các tập tin văn phòng như word, excel, jpg,... Các bạn có thể dùng trong trường hợp mã hash của các tập tin bạn nghi ngờ là mã độc chưa được public trên các trang như virustotal, hybrid-analysis , joesecurity, vmray hoặc kết quả là 0 engines phát hiện các bạn cần một công cụ để kiểm tra lại.

​

Công cụ chính mình sử dụng là Yara kết hợp với các rule được xây dựng dựa trên các CVE, các kỹ thuật nâng cao để phát hiện chứa các đoạn mã base64, powershell, shellcode, domain C&C,….

Đầu tiên các bạn cài đặt Yara

Với Linux các bạn dùng lệnh

Mã:

apt-get install yara 

​

Với Windows các bạn tải và cài đặt chương trình tại đây

Sau khi cài đặt các bạn tiền hành tải bộ rule và một vài công cụ khác



Are you ready?

​

Mã:

git clone https://github.com/SugiB3o/Detect-Malicious-in-office-files

​

Sau khi tải về vào thư mục example để giải nén các file mẫu với mật khẩu giải nén là virus hoặc infected

Lưu ý phải add forlder example vào whitelist của antivirus để nó không scan thư mục này đối với windows, còn linux thì không cần bận tâm

​

Dùng lệnh file * để tìm định đạng các tập tin ta sẽ phân tích là gì.

​

OK now got malware
Dùng lệnh sha256sum để lấy các mã hash của tập tin để tra trên các công cụ phân tích mã độc miễn phí

​

Chúng ta sẽ chạy lệnh theo cú pháp: yara + tên rule + tên file

​

Kết quả cho ta thấy tập tin này vi phạm 3 rule bao gồm vì đính kèm: powershell, mã base64, domain

Lấy mã hash tập tin này


Tra trên virustotal, 0 có engines của hãng nào có thể detect được​

​

Phân tích ở tập tin pdf ta thấy tập tin này vi phạm cấu trúc của pdf, đính kèm mã base64, ngoài ra còn có domain và url

Tập tin pdf này có 27 engines phát hiện được mã độc đính kèm
​

Kết luận và lưu ý

​

Khi nghi ngờ 1 tập tin thì nên tra mã hash trên virustotal sau đó sử dụng yara để kiểm tra lại
Số rule vi phạm càng nhiều tỉ lệ tập tin chứa malware càng cao.
Kết quả ta chỉ chú ý đến các dòng không có dấu “./”
Tuyệt đối không thực thi các tập tin trong thư mục example
Project này do mình tự tổng hợp và build nên các bạn có thắc mắc các bạn có thể hỏi mình bằng cách comment bên dưới bài viết
Hi vọng nó sẽ giúp ích cho những người không chuyên về bảo mật có thể tự bảo vệ được chính mình trước các mối nguy tiềm ẩn trên Internet.

Các bạn có thể tham khảo thêm 1 bài phân tích về mã độc Emotet

-------------
Sugib3o
WhiteHat​

 

Các bạn có thể clone Project này bao gồm các mẫu malware về để kiểm tra tính năng Yara rule https://github.com/InQuest/malware-samples và so sánh hash trên các trang virustotal