详细分析使用Certutil解码的Office恶意软件 – 作者:兰云科技银河实验室

最近发现使用certutil进行解码的office恶意软件，这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件，然后通过调用certutil来进行解码恶意软件，并通过宏来启动恶意软件，这样做主要是为了绕过杀软的检测点。

详细分析

首先打开文档会看到要启动宏提示，说明是有宏代码的，兰云科技提醒大家再没有明确确认的情况下，不要随便点击office下面的提示。

下面打开宏代码进行分析发现里面的宏代码是加了密码的。

通过脚本对密码进行替换，成功读取到了其中的宏代码。

可以看到样本会获取ShellExecuteA 和GetTempPathA两个API进行备用。

再获取API后，使用宏代码激活样本中的OLE对象。

可以看到样本中有个OLE对象当宏代码激活时会释放到临时文件夹中。

再将这个文件释放到临时文件中后，样本会调用GYUODS函数。

这个函数主要会调用GetTempPath 来获取临时文件夹路径。

在获取了临时文件夹后，拼接出OLE对象的路径 \Temp\WORD.VRE。

在拼接出以后开始调用 certutil.exe 进行对WORD,VRE进行解码。

下图为WORD.VRE被编码的格式。

certutil.exe  是微软自带的软件，官方的介绍链接为https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil

其中的decode和encode可以实现对一个文件进行Base64的编码和解码。

在解码完WORD,VRE成VRE.exe后，最后调用执行。

可以简单看下 VRE.EXE先通过启动IE进程并将恶意代码注入IE进程。

并设置开机自启动。

连接的C&C地址为193.138.223.44。

总结

恶意软件通过一些绕过杀软的技术来实现最终的恶意软件的注入和释放，对于宏病毒，大家还是需要提起注意。

*本文作者：兰云科技银河实验室，转载请注明来自 FreeBuf.COM

来源：freebuf.com 2018-03-10 08:00:40 by: 兰云科技银河实验室