QuickSand – делаем анализ подозрительных вредоносных документов

Делаем анализ подозрительных вредоносных документов с QuickSand
QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтов в потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.

Форматы файлов для использования и активного определения содержимого

doc, docx, docm, rtf, etc
ppt, pptx, pps, ppsx, etc
xls, xlsx, etc
mime mso
eml email
Форматы файлов для оперативного обнаружения

Все перечисленные выше, плюс PDF.
Любой формат документа вроде HWP.
Версия Lite – Лицензия Mplv2

Ключевой словарь вплоть до 256 byte XOR
Поразрядный ROL, ROR, NOT
Математический шифр сложения или вычитания
Исполняемое извлечение: Windows, Mac, Linux, VBA
Поиск эксплойтов
Предварительная обработка RTF
Извлечение Hex stream
Извлечение Base 64 Stream
Извлечение встроенного Zip
Извлечение ExOleObjStgCompressedAtom
Декодирование zLib
Декодирование Mime Mso xml
Декодирование OpenXML (unzip)
Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние
Примеры результатов и больше информации можно получить здесь blog post

Зависимости

Yara 3.4+
zlib
libzip
Быстрый старт

./build.sh
./quicksand.out -h
./quicksand.out malware.doc