Como encontrar domínios e endereços de IPs maliciosos em arquivos do pacote Microsoft Office
Office Open XML (OOXML) é um arquivo no formato zip compactado, usado pela Microsoft para conter os arquivos do Microsoft Office como o “.xlsx”, “.docx” e o “.pptx”.
Portanto você pode analisar o conteúdo de um arquivo OOXML utilizando o script zipdump.py .
[python3 zipdump.py arquivo.docx]
Podemos ver na imagem acima que zipdump.py lista todos os arquivos contidos no .docx e atribui a eles um índice para cada nome de arquivo.
Para encontrar endereços de IP , podemos combinar zipdump.py com a ferramenta re-search.py . O script re-search.py é outra ferramenta, usada para buscar padrões específicos em textos usando expressões regulares (regex).
[python3 zipdump.py -D arquivo.docx | python3 re-search.py -n ipv4 -u]
A flag -D indica que ele deve extrair e exibir o conteúdo em formato hexadecimal e texto para cada entrada no arquivo ZIP. Ou seja, o conteúdo do arquivo.docx será extraído e exibido no terminal, incluindo partes internas como XMLs, imagens ou outros componentes. O operador pipe (|) redireciona a saída do primeiro comando (zipdump.py) para ser a entrada do próximo comando (re-search.py).
A flag -n no re-search.py define o nome do regex desejado (btc, domaintld, email, email-domain, ipv4, onion, url, url-domain). Portanto, ipv4 indica que o script está configurado para buscar padrões de endereços IPv4. Já a flag -u define que a saída deve exibir apenas as correspondências únicas (sem repetições).
Caso encontre um IP, aparecerá na saída do terminal. Analise a reputação do IP retornado clicando aqui.
Para encontrar domínios utilize:
[python3 zipdump.py -D arquivo.docx | python3 re-search.py -n domaintld -u]
Para mais dicas sobre análise de documentos maliciosos, visite https://sansorg.egnyte.com/dl/YrwOdFIm1I
.png)
COMENTÁRIOS