Вложений: 3
Excel документ и CVE: 2012-0158
Добрый день!
Я бы хотел поделиться некоторыми своими выкладками и если они вас заинтересуют, то также услышать ваше мнение.
Хочу отметить, что никогда не занимался программированием, аналитикой и вопросами эксплойтов, поэтому весь материал изложен на дилетантском уровне и больше похож на то, как слепой занимается поисками чего-то неизвестного в темной комнате. Поэтому могу использовать неверную терминологию.
Предыстория:
В организацию на почтовый адрес администратора сайта пришло письмо, содержащее Excel документ «0001001998..xlsx» (примечание: если не смотреть на расширение xlsx, то формат документа больше похож на старый xls (97-2003). Естественная осторожность не позволила открыть документ. Первым порывом было изменить расширение на rar и посмотреть структуру документа. Ниже приведена картинка того, что я увидел.
[ATTACH=CONFIG]554057[/ATTACH]
Также вы можете посмотреть на то, как выглядит документ xls (97-2003) и xlsx. Разница очевидна. Настораживает именование EncryptionInfo, EncryptedPackege в полученном документе.
[ATTACH=CONFIG]554058[/ATTACH]
[B]xls (97-2003)[/B]
[ATTACH=CONFIG]554059[/ATTACH]
[B]xlsx
[/B]
В голове сразу сформировался вопрос. Возможно ли, что данный документ был специально сформирован и содержит какой-нибудь эксплойт для Excel документов? Как и говорилось ранее, я никогда не интересовался эксплойтами, поэтому занялся поиском информации с нуля.
В скором времени нашел данные по CVE: 2012-0158 (MS12-027 [URL]http://www.exploit-db.com/exploits/18780/[/URL]) и стал сравнивать код эксплойта, полученного Excel документа и обычного пустого Excel документа в шестнадцатеричном виде.
Кроме того, искал в сети информацию по данному эксплойту. Заинтересовало то, что на одних ресурсах указано, что эксплойт применяется для rtf и doc документов ([URL]https://securelist.com/analysis/publications/37158/the-curious-case-of-a-cve-2012-0158-exploit/[/URL]), а на других, что для rtf, doc и xls документов ([URL]https://blogs.mcafee.com/mcafee-labs/cve-2012-0158-exploit-in-the-wild[/URL]).
Во вложении есть архив "Сравнение кода.rar", который содержит три Word документа. В «Exploit.docx» приведен код эксплойта, в «Исследуемый документ.docx» полученный Excel документ, в «Обычный Excel.docx» шаблон стандартного документа. К сожалению не знаю инструментов, которые бы позволяли удобно производить сравнение кода в шестнадцатеричном виде, поэтому извращаюсь как могу.
В «Исследуемый документ.docx» желтым выделены значения отличающиеся от того, что указано в коде эксплойта. Отличий не так уж и много.
В «Обычный Excel.docx» желтым цветом выделены отличия от «Исследуемый документ.docx». Отличия значительные на мой взгляд.
Собственно хотелось бы услышать ваше мнение, в полученном Excel документе присутствует эксплойт?
Если это эксплойт, то как правильно исследовать документ на виртуальной машине, чтобы случайно не получить заражение основной?
P.S. во вложении к сообщению присутствует архив, содержащий подозрительный документ. Пароль на архив такой же, какой применяется при отправке подозрительных файлов в антивирусные лаборатории.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Прочитал причину удаления файлов.
Ознакомился с правилами, понял в чем была ошибка. К сожалению, т.к. это не раздел «Помогите», то и нет функционала «Прислать запрошенный файл».
Я могу выложить просто архив с word документами, где приводится сравнение шестнадцатеричного кода?
