QuickSand – делаем анализ подозрительных вредоносных документов
Hackside
Делаем анализ подозрительных вредоносных документов с QuickSand
QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтов в потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.
Форматы файлов для использования и активного определения содержимого
doc, docx, docm, rtf, etc
ppt, pptx, pps, ppsx, etc
xls, xlsx, etc
mime mso
eml email
Форматы файлов для оперативного обнаружения
Все перечисленные выше, плюс PDF.
Любой формат документа вроде HWP.
Версия Lite – Лицензия Mplv2
Ключевой словарь вплоть до 256 byte XOR
Поразрядный ROL, ROR, NOT
Математический шифр сложения или вычитания
Исполняемое извлечение: Windows, Mac, Linux, VBA
Поиск эксплойтов
Предварительная обработка RTF
Извлечение Hex stream
Извлечение Base 64 Stream
Извлечение встроенного Zip
Извлечение ExOleObjStgCompressedAtom
Декодирование zLib
Декодирование Mime Mso xml
Декодирование OpenXML (unzip)
Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние
Примеры результатов и больше информации можно получить здесь blog post
Зависимости
Yara 3.4+
zlib
libzip
Быстрый старт
./build.sh
./quicksand.out -h
./quicksand.out malware.doc