Excel документ и CVE: 2012-0158

[Temar]

Добрый день!
Я бы хотел поделиться некоторыми своими выкладками и если они вас заинтересуют, то также услышать ваше мнение.

Хочу отметить, что никогда не занимался программированием, аналитикой и вопросами эксплойтов, поэтому весь материал изложен на дилетантском уровне и больше похож на то, как слепой занимается поисками чего-то неизвестного в темной комнате. Поэтому могу использовать неверную терминологию.

Предыстория:
В организацию на почтовый адрес администратора сайта пришло письмо, содержащее Excel документ «0001001998..xlsx» (примечание: если не смотреть на расширение xlsx, то формат документа больше похож на старый xls (97-2003). Естественная осторожность не позволила открыть документ. Первым порывом было изменить расширение на rar и посмотреть структуру документа. Ниже приведена картинка того, что я увидел.
suspicious.png
Также вы можете посмотреть на то, как выглядит документ xls (97-2003) и xlsx. Разница очевидна. Настораживает именование EncryptionInfo, EncryptedPackege в полученном документе.
xls (97-2003).png
xls (97-2003)
xlsx.png
xlsx

В голове сразу сформировался вопрос. Возможно ли, что данный документ был специально сформирован и содержит какой-нибудь эксплойт для Excel документов? Как и говорилось ранее, я никогда не интересовался эксплойтами, поэтому занялся поиском информации с нуля.
В скором времени нашел данные по CVE: 2012-0158 (MS12-027 http://www.exploit-db.com/exploits/18780/) и стал сравнивать код эксплойта, полученного Excel документа и обычного пустого Excel документа в шестнадцатеричном виде.
Кроме того, искал в сети информацию по данному эксплойту. Заинтересовало то, что на одних ресурсах указано, что эксплойт применяется для rtf и doc документов (https://securelist.com/analysis/publ...-0158-exploit/), а на других, что для rtf, doc и xls документов (https://blogs.mcafee.com/mcafee-labs...it-in-the-wild).

Во вложении есть архив "Сравнение кода.rar", который содержит три Word документа. В «Exploit.docx» приведен код эксплойта, в «Исследуемый документ.docx» полученный Excel документ, в «Обычный Excel.docx» шаблон стандартного документа. К сожалению не знаю инструментов, которые бы позволяли удобно производить сравнение кода в шестнадцатеричном виде, поэтому извращаюсь как могу.
В «Исследуемый документ.docx» желтым выделены значения отличающиеся от того, что указано в коде эксплойта. Отличий не так уж и много.
В «Обычный Excel.docx» желтым цветом выделены отличия от «Исследуемый документ.docx». Отличия значительные на мой взгляд.

Собственно хотелось бы услышать ваше мнение, в полученном Excel документе присутствует эксплойт?
Если это эксплойт, то как правильно исследовать документ на виртуальной машине, чтобы случайно не получить заражение основной?

P.S. во вложении к сообщению присутствует архив, содержащий подозрительный документ. Пароль на архив такой же, какой применяется при отправке подозрительных файлов в антивирусные лаборатории.

- - - - -Добавлено - - - - -

Прочитал причину удаления файлов.
Ознакомился с правилами, понял в чем была ошибка. К сожалению, т.к. это не раздел «Помогите», то и нет функционала «Прислать запрошенный файл».
Я могу выложить просто архив с word документами, где приводится сравнение шестнадцатеричного кода?

[olejah]

Добрый день!
Вы можете использовать форму в этой теме для загрузки подозрительных файлов.

[Temar]

Файл сохранён как 150413_065920_virus_552b310821521.zip
Размер файла 10077
MD5 427f116856038d0e22f7096140144021

[Temar]

Ещё интересные наблюдения.
Первое. Выяснил, что структура приведенная ниже, характерна для документов Microsoft Office защищенных паролем. При этом не совсем понятно, почему тогда файл открывался без запроса пароля.
suspicious.png
Второе. Если загрузить файл на virustotal и посмотреть дополнительные сведения, можно увидеть что тип файла, определяемый данным сервисом совсем даже не xls, а MS Word Document.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены