QuickSand — делаем анализ подозрительных вредоносных документов
Life-Hack
QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтовв потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.
Форматы файлов для использования и активного определения содержимого
- doc, docx, docm, rtf, etc
- ppt, pptx, pps, ppsx, etc
- xls, xlsx, etc
- mime mso
- eml email
Форматы файлов для оперативного обнаружения
- Все перечисленные выше, плюс PDF.
- Любой формат документа вроде HWP.
Версия Lite — Лицензия Mplv2
- Ключевой словарь вплоть до 256 byte XOR
- Поразрядный ROL, ROR, NOT
- Математический шифр сложения или вычитания
- Исполняемое извлечение: Windows, Mac, Linux, VBA
- Поиск эксплойтов
- Предварительная обработка RTF
- Извлечение Hex stream
- Извлечение Base 64 Stream
- Извлечение встроенного Zip
- Извлечение ExOleObjStgCompressedAtom
- Декодирование zLib
- Декодирование Mime Mso xml
- Декодирование OpenXML (unzip)
- Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние
Примеры результатов и больше информации можно получить здесь blog post
Зависимости
- Yara 3.4+
- zlib
- libzip
Быстрый старт
- ./build.sh
- ./quicksand.out -h
- ./quicksand.out malware.doc
Перевод: AnnaDavydova