IOC_Emotet: nuestra nueva herramienta de análisis para formatos Microsoft Office XML

miércoles, 27 de marzo de 2019

Emotet sigue siendo una de las amenazas más persistentes en el mundo, pero particularmente en Latinoamérica está golpeando con cierta insistencia. Hace algunas semanas aconsejábamos una fórmula para mitigar el acceso a un cierto tipo de formato de archivo Office que está siendo utilizado por atacantes, además de explicar cómo funcionaba internamente. Ahora mostraremos una pequeña herramienta que automatiza el proceso de análisis.


Esta herramienta de línea de comandos creada por nuestro compañero Ricardo Monreal, extrae los indicadores de Compromiso (IOC) de este formato concreto de archivo Office, usado por atacantes.

Este script en bash se apoya en otras herramientas que se pueden encontrar en sus respectivos repositorios oficiales:

Con estas herramientas instaladas, simplemente es necesario ejecutar el script de la siguiente forma:

Algunos ejemplos de análisis de un archivo Microsoft Office XML se pueden observar en las siguientes capturas, con diferentes casos de ofuscación.



Donde se pueden observar dominios y código de la macro, dado el caso.

En el caso de que se realice el análisis de un archivo .doc con macros y, además, con payload comprimido con DEFLATE, también se mostrarían los IOC en claro.


Incluso lo mostraría si se ofuscasen de maneras más complejas las cargas maliciosas y dominios, recuperando la información.


La herramienta se encuentra disponible AQUÍ.

Recordamos que también disponemos de nuestra herramienta DIARIO para analizar documentos maliciosos respetando La privacidad del contenido.

Ricardo Monreal
Malware Intelligence en ElevenPaths Chile

1 comentario: