Use Trickest para construir e automatizar fluxos de trabalho facilmente com as ferramentas comunitárias mais avançadas do mundo. Tenha acesso hoje:

Para mais informações, acesse https://trailofbits.github.io/ctf/forensics/. Este é apenas um resumo:

A Microsoft criou muitos formatos de documentos de escritório, com dois tipos principais sendo os formatos OLE (como RTF, DOC, XLS, PPT) e os formatos Office Open XML (OOXML) (como DOCX, XLSX, PPTX). Esses formatos podem incluir macros, tornando-os alvos para phishing e malware. Arquivos OOXML são estruturados como contêineres zip, permitindo inspeção por meio de descompactação, revelando o arquivo e a hierarquia de pastas e conteúdos de arquivos XML.

Para explorar as estruturas de arquivos OOXML, é fornecido o comando para descompactar um documento e a estrutura de saída. Técnicas para ocultar dados nesses arquivos foram documentadas, indicando inovação contínua na ocultação de dados nos desafios CTF.

Para análise, oletools e OfficeDissector oferecem conjuntos abrangentes de ferramentas para examinar documentos OLE e OOXML. Essas ferramentas ajudam na identificação e análise de macros incorporadas, que frequentemente servem como vetores para entrega de malware, geralmente baixando e executando cargas maliciosas adicionais. A análise de macros VBA pode ser realizada sem o Microsoft Office utilizando o Libre Office, que permite a depuração com pontos de interrupção e variáveis de observação.

A instalação e o uso do oletools são diretos, com comandos fornecidos para instalação via pip e extração de macros de documentos. A execução automática de macros é acionada por funções como AutoOpen, AutoExec ou Document_Open.

sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros

Use Trickest para construir e automatizar fluxos de trabalho facilmente com as ferramentas comunitárias mais avançadas do mundo. Acesse hoje mesmo: