- 24 Mar 2022
- 84
- 39
![](https://i.hizliresim.com/sbzcdf3.jpg)
Selamlar bugün "cyberdefenders.org" üzerinden "Maldoc101" adlı inceleyip çözümünü gerçekleştireceğiz.
Senaryo;
Tehdit aktörlerinin, saldırılarını ilerletmek ve makro koddan geçiş yapmak için PowerShell'in yürütülmesi gibi arazide yaşama (LOTL) tekniklerini kullanması yaygındır. Bu zorluk, önemli IOC'leri çıkarmak için çoğu zaman nasıl hızlı analiz yapabileceğinizi göstermeyi amaçlamaktadır. Bu alıştırmanın odak noktası, analiz için statik tekniklerdir.
Kullanılan Araçlar : Oletools
![](https://i.hizliresim.com/wk600ry.jpg)
![](https://i.hizliresim.com/c3m4idf.jpg)
Soru 1.) Multiple streams contain macros in this document. Provide the number of highest one.
Bu belgede birden çok akış makro içerir. En yüksek sayıyı belirtin.
Çözüm 1.) Kod : python2 oledump.py sample.bin
Cevap : 16
![](https://i.hizliresim.com/iquwudn.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 2.) What event is used to begin the execution of the macros?
Makroların yürütülmesini başlatmak için hangi olay kullanılır?
Çözüm 2.) Kod : python2 olevba.py sample.bin
Cevap : Document_open
![](https://i.hizliresim.com/83ikslv.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 3.) What malware family was this maldoc attempting to drop?
Bu maldoc hangi kötü amaçlı yazılım ailesini düşürmeye çalışıyordu?
Çözüm 3.) Virüstotal sitesinde dosyamızı taratıyoruz.
Cevap : Emotet
![](https://i.hizliresim.com/5fxc98a.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 4.) What stream is responsible for the storage of the base64-encoded string?
Base64 kodlu dizenin depolanmasından hangi akış sorumludur?
Çözüm 4.) Kod: python2 oledump.py sample.bin
python2 olevba.py sample.bin
Cevap : Dosyayı tekrar gözden geçiriyoruz ve burdaki en büyük bölüm olan 34’tür. Oledump çıktısı görseline soru 1 görselinden bakabilirsiniz.
![](https://i.hizliresim.com/fme6qja.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 5.) This document contains a user-form. Provide the name?
Bu belge bir kullanıcı formu içermektedir. İsim ver?
Çözüm 5.) Kod: oledir sample.bin
Cevap: roubhaol
![](https://i.hizliresim.com/dbifet6.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 6.) This document contains an obfuscated base64 encoded string; what value is used to pad (or obfuscate) this string?
Bu belge, karmaşık bir base64 kodlu dize içerir; bu dizeyi doldurmak (veya gizlemek) için hangi değer kullanılır?
Çözüm 6.) python2 oledump.py -s 15 --vbadecompresscorrupt sample.bin
Cevap : 2342772g3&*gs7712ffvs626fq
![](https://i.hizliresim.com/rh8t0o2.png)
Sonuçtan kodları kopyalayıp text editöre yapıştırıyoruz.
![](https://i.hizliresim.com/hq3tomf.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 7.) What is the program executed by the base64 encoded string?
Base64 kodlu dize tarafından yürütülen program nedir?
Çözüm 7.) Kod: python2 oledump.py -s 34 -d sample.bin
Çıktıyı kopyalayarak cyber chief’e yapıştırıyoruz.
6. sorunun cevabınıiçinde aratıyoruz.
Cevap : Powershell
![](https://i.hizliresim.com/2c5vnai.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 8.) What WMI class is used to create the process to launch the trojan?
Truva atını başlatma sürecini oluşturmak için hangi WMI sınıfı kullanılır?
Çözüm 8.) Kodlarımızı çözerek cevaba ulaşıyoruz.
Cevap 8 : win32_process
![](https://i.hizliresim.com/ade6t6t.png)
![](https://i.hizliresim.com/q92hiek.jpg)
Soru 9.) Multiple domains were contacted to download a trojan. Provide first FQDN as per the provided hint.
Truva atı indirmek için birden fazla alanla bağlantı kuruldu. Sağlanan ipucuna göre ilk FQDN'yi sağlayın.
Çözüm 9.) 8. Soru görselinde bağlantımız gözükmektedir.
Cevap 9: haoqunkong.com
![](https://i.hizliresim.com/q92hiek.jpg)
Okuyan ve beğenen herkese teşekkür ederim, diğer konularda görüşmek üzere.
![](https://i.hizliresim.com/5hv9khg.jpg)
@Kızıl_Kelebek && @levidomates