Discussione Malware Come aprire un file Office infetto?

[ElectricDreamer]

Ciao a tutti, come da titolo questa mattina ho ricevuto un'email da parte della palestra a cui sono iscritto, almeno apparentemente. Insospettito dalla richiesta di scaricare il file .zip in allegato per ricevere un rimborso, dopo aver estratto l'archivio protetto da password (immagino per ingannare l'antivirus) ho controllato il file .doc all'interno con VirusTotal ed è risultato essere un file infetto. Windows Defender in particolare lo segnala come Trojan:Script/Woreflint.A!cl e da quanto ho capito potrebbe essere il classico attacco tramite codice VBA nascosto nel file .doc. A questo punto non potendo usare DangerZone (un programma che sfrutta la virtualizzazione di Docker per aprire questo tipo di file) vorrei chiedervi se conoscete un metodo alternativo per aprire il file, magari una macchina virtuale (live o non) realizzata proprio per questo, e sopratutto come analizzarlo per capire il tipo di malware eseguito.

Grazie in anticipo a chi risponderà

 

[0xbro]

Any.run è una sandbox molto valida che ti permette di "esplodere" i file in maniera sicura all'interno del loro ambiente virtualizzato. Il problema è solo che hai a disposizione 5 minuti dopodichè scade il tempo e che i dati dell'analisi diventano pubblici. La cosa buona è che fa gran parte dell'analisi per te, tracciando i processi che vengono eseguiti, gli IP contattatti ecc.

L'altra alternativa è scaricare una demo di 14 giorni di windows, una demo di Office e creare una macchina virtuale isolata

 

[ElectricDreamer]

Any.run è una sandbox molto valida che ti permette di "esplodere" i file in maniera sicura all'interno del loro ambiente virtualizzato. Il problema è solo che hai a disposizione 5 minuti dopodichè scade il tempo e che i dati dell'analisi diventano pubblici.

Grazie la proverò sicuramente, il limite di tempo non dovrebbe essere un problema

La cosa buona è che fa gran parte dell'analisi per te, tracciando i processi che vengono eseguiti, gli IP contattatti ecc.

A questo proposito, conosci delle guide per fare l'analisi da sè?

L'altra alternativa è scaricare una demo di 14 giorni di windows, una demo di Office e creare una macchina virtuale isolata

Per avere un'ambiente isolato pensi che basti VirtualBox senza particolari impostazioni?

 

[0xbro]

Per avere un'ambiente isolato pensi che basti VirtualBox senza particolari impostazioni?

No, dovresti andare nelle impostazioni delle schede di rete e mettere come unica scheda di rete "host only". In questo modo non dovrebbero esserci collegamenti con l'esterno. Dopodichè dovresti usare una cartella condivisa per importare il documento e rimuoverla per sicurezza prima di aprire il file.
In questo modo dovresti avere una VM del tutto isolata

Per il resto lascio la discussione a @JunkCoder che di sicuro ne sa più di me su questo genere di cose

 

[JunkCoder]

Va benissimo quanto gia’ detto, any.run dovrebbe essere abbastanza se non hai dati riservati dentro il documento. Per virtualbox, come con VMware, puoi impostare la scheda di rete ad host-only oppure disattivarla completamente. Se ti interessa andare anche a vedere com’e’ composto il malware puoi usare FlareVM che ha anche dei tool pre-installati come olevba che estrae le macro dal documento senza aprirlo.

 

[ElectricDreamer]

Va benissimo quanto gia’ detto, any.run dovrebbe essere abbastanza se non hai dati riservati dentro il documento. Per virtualbox, come con VMware, puoi impostare la scheda di rete ad host-only oppure disattivarla completamente. Se ti interessa andare anche a vedere com’e’ composto il malware puoi usare FlareVM che ha anche dei tool pre-installati come olevba che estrae le macro dal documento senza aprirlo.

Grazie mille, ho installato FlareVM, anche se da neofita nel campo non ho capito molto di cosa faceva il codice estratto dal documento. Conosci per caso qualche guida/libro per capirne di più?

 

[hck2009]

Ciao a tutti, come da titolo questa mattina ho ricevuto un'email da parte della palestra a cui sono iscritto, almeno apparentemente. Insospettito dalla richiesta di scaricare il file .zip in allegato per ricevere un rimborso, dopo aver estratto l'archivio protetto da password (immagino per ingannare l'antivirus) ho controllato il file .doc all'interno con VirusTotal ed è risultato essere un file infetto. Windows Defender in particolare lo segnala come Trojan:Script/Woreflint.A!cl e da quanto ho capito potrebbe essere il classico attacco tramite codice VBA nascosto nel file .doc. A questo punto non potendo usare DangerZone (un programma che sfrutta la virtualizzazione di Docker per aprire questo tipo di file) vorrei chiedervi se conoscete un metodo alternativo per aprire il file, magari una macchina virtuale (live o non) realizzata proprio per questo, e sopratutto come analizzarlo per capire il tipo di malware eseguito.

Grazie in anticipo a chi risponderà

Penso si tratti di Ransomware...pur riuscendo ad aprirlo ti darà l'opzione di attivare la macro e da li criptare il tuo intero pc... Usa VirtualBox VM ed installaci sopra windows xp o windows 7....ti sarà utile anche in futuro.
P.s. spesso inviano le bollette, un avviso o qualsiasi altra cosa ed è scritto perfettamente in italiano...quindi da stare molto attenti, se l'antivirus segnala un virus...ascoltatelo...perchè al 99% lo è.

Tempo di criptazione totale del pc: max 5-10 sec...e non serve nemmeno riavviare il pc. Inoltre consiglio di attivare backup del sistema operativo per il ripristino allo stato precedente, questo servirà per recuperare i documenti , ma non sono sicuro al 100%.