Usa Trickest per costruire facilmente e automatizzare flussi di lavoro supportati dagli strumenti della comunità più avanzati al mondo. Ottieni l'accesso oggi:

Per ulteriori informazioni controlla https://trailofbits.github.io/ctf/forensics/. Questo è solo un riassunto:

Microsoft ha creato molti formati di documenti di Office, con due tipi principali che sono i formati OLE (come RTF, DOC, XLS, PPT) e i formati Office Open XML (OOXML) (come DOCX, XLSX, PPTX). Questi formati possono includere macro, rendendoli bersagli per phishing e malware. I file OOXML sono strutturati come contenitori zip, consentendo l'ispezione tramite scompattamento, rivelando il file e la gerarchia delle cartelle e i contenuti dei file XML.

Per esplorare le strutture dei file OOXML, viene fornito il comando per decomprimere un documento e la struttura di output. Sono stati documentate tecniche per nascondere dati in questi file, indicando un'innovazione continua nella dissimulazione dei dati all'interno delle sfide CTF.

Per l'analisi, oletools e OfficeDissector offrono set di strumenti completi per esaminare sia i documenti OLE che OOXML. Questi strumenti aiutano nell'identificare e analizzare le macro incorporate, che spesso fungono da vettori per la distribuzione di malware, scaricando e eseguendo tipicamente payload dannosi aggiuntivi. L'analisi delle macro VBA può essere condotta senza Microsoft Office utilizzando Libre Office, che consente il debug con punti di interruzione e variabili di watch.

L'installazione e l'uso di oletools sono semplici, con comandi forniti per l'installazione tramite pip e l'estrazione di macro dai documenti. L'esecuzione automatica delle macro è attivata da funzioni come AutoOpen, AutoExec, o Document_Open.

sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros

Utilizza Trickest per creare facilmente e automatizzare flussi di lavoro supportati dagli strumenti della community più avanzati al mondo. Ottieni l'accesso oggi: