Informática & Derecho WikiBlog

2 minutos de lectura ( 344 palabras)

Como identificar inyecciones en plantillas de documentos ofimáticos.

Este fin de semana vi este tweet:

Así que me dispuse a ver qué había en ese fichero ofimático.

Necesitaremos estos 2:

exploit.docx: https://bazaar.abuse.ch/sample/59e08d42ce495f290c4dfd7be9614f786cdfed3ebdd7d6e68accbb630c051083/

1(1).dotm: https://bazaar.abuse.ch/sample/fa1f9f5deac24c735baa77eb5b76b9057b3fea6c2bc7f2bf7f16420a8b48f00c/

De momento me olvido del segundo documento, el fichero que reciben los usuarios es el primero de ellos, de esta manera, me centraré en observar qué hace este.

Olevba ya nos alerta de qué se trata y nos presenta el primer IOC, la URL a la que se va a conectar. Lo gracioso de este documento está en que va a llamar a otro en formato plantilla y la cargará, como es de esperar, en la URL que se ve en la siguiente imagen.

Olevba

Si nos fijamos en la parte superior, tenemos la ruta interna donde está el enlace. Renombráis el “.docx” a “.zip”, lo descomprimís y ya lo tenéis disponible.

Ramsonware plantillla xml

Por lo tanto, ya hemos identificado lo que hace este primer documento, carga una plantilla ubicada en un servidor externo.

El segundo enlace del que me había olvidado temporalmente, vuelve a mi cabeza, ahora es el momento de ver qué hace esa plantilla :D

Api en plantilla ramsonware

En la imagen anterior podemos observar una serie de API, muy utilizadas para la ejecución de shellcode en memoria.

Ejecución de shellcode en memoria

Y en esta otra, la ruta del fichero en donde se va a inyectar, ademas de la shellcode en sí (en el array). Este comportamiento es propio de Cobalt Strike.

Utilizamos Cyberchef, como en otras ocasiones, para transformar el valor del array “myArray” a la shellcodeque se va a inyectar y así poder saber la IP que tendríamos que vigilar y/o monitorizar.

IOC cyberchef

Ya la tenemos. Como habéis visto, no es necesario ejecutar el documento (ninguno de ellos) para obtener las IP maliciosas hacia donde se conectará para controlar el equipo del usuario que abra ese documento inicial (exploit.docx).

En este caso se trataba de un ataque conocido como Template Injection. Os dejo el enlace de Mitre para que podáis profundizar en ello.

Espero que os sea útil (esta vez he sido breve), nos vemos en el siguiente post!!

 

Hasta otra!

 

Fuente: Rafa.Pedrero

https://ciberseguridad.blog/como-identificar-inyecciones-en-plantillas-de-documentos-ofimaticos/

 
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Estos son los ciberataques que marcarán 2022
Nueva guía para los profesionales que apoyan a las...
 

Aporte reciente al blog

10 Febrero 2024
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
16 Noviembre 2023
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...

Suscribirme al Blog:

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto: