Mo200909/Office-Malware-Forensics-Lab-REMnux-Static-Analysis
GitHub: Mo200909/Office-Malware-Forensics-Lab-REMnux-Static-Analysis
该项目演示如何在隔离的 REMnux 环境中使用 oletools 对恶意 Office 文档进行全流程静态取证分析,涵盖漏洞利用识别、宏提取与混淆检测。
Stars: 0 | Forks: 0
# Office 恶意软件取证实验 — REMnux 静态分析
## 概述
使用 REMnux 和 oletools 套件对两个恶意 Microsoft Office 文档进行静态取证分析。未执行任何文件 — 所有分析均在隔离的 REMnux VM 中静态完成。
## 环境
- OS: REMnux(隔离的 VM,与宿主机无共享文件夹)
- 工具:sha256sum、file、unzip、oletools (oleid、olevba、oledump、mraptor)
- 样本来源:MalwareBazaar (bazaar.abuse.ch) — 由 abuse.ch 维护的精选恶意软件存储库,用于安全研究
- 分析类型:仅限静态 — 全程未执行任何样本
## 分析样本
### 样本 1 — 恶意 Word 文档 (.docx)
**SHA-256:** `68e82279bff55cf3b9f1f22ec4a165b1b1245a359f7e8d86664b2541d8f8d3fe`
**文件类型:**ZIP 压缩包(Office Open XML 容器)
**关键发现:**
- `nste.xml` 被识别为嵌入在 XML 容器内的富文本格式 (Rich Text Format) 数据 — 异常的文件类型不匹配,表明存在规避 (Evasion) 尝试
- OLE Object 0:嵌入的 VBS 可执行文件(`419876.vbs`,196KB)标记为 EXECUTABLE FILE — MD5:`a1142366224a45e8b241403a6868187b`
- OLE Object 1:Equation.3 漏洞利用 — CVE-2017-11882
(Microsoft Equation Editor Remote Code Execution)
CLSID: 20E02C00-0000-0000-0C00-000000000004
**结论:**恶意 — 武器化的 Office 文档,利用 CVE-2017-11882 释放 VBS payload,无需宏
### 样本 2 — 恶意 Excel 文件 (.xlsx)
**SHA-256:** `dc65419ba5d83b980d7018198a14209fa2f5ebf6f99d47bfe9f586852087befe`
**文件类型:**Composite Document File V2(尽管扩展名为 .xlsx,实为旧版 OLE 格式)— Microsoft Excel 97-2003
**创建时间:**Sep 16 2006 | **最后保存:**Jun 15 2026
**关键发现:**
- 文件已加密(FILEPASS 记录)— 向基于特征码的扫描器隐藏宏内容
- 4 个流(Sheet1–3, ThisWorkbook)中存在 VBA 宏
- mraptor 标记:A=AutoExec, W=Write, X=Execute — 宏在打开时自动执行,并具有写入和执行代码的能力
- 检测到一个隐藏工作表
- 存在十六进制编码字符串 — 通过混淆规避检测
- 解密后 VBA 宏源码为空 — 与通过 XLM 宏层进行 payload 交付的情况一致
**结论:**恶意 — 加密的 Excel 文件,具有自动执行宏、写入/执行能力、隐藏工作表以及被混淆的 payload
## 方法论
1. 生成 SHA-256 哈希用于证据保管链验证
2. 使用 `file` 命令识别真实文件类型与声明的扩展名
3. 使用 `oleid` 进行高级别指标分类(加密、宏、外部关系)
4. 使用 `oledump` 枚举 OLE 流和嵌入对象
5. 使用 `olevba` 提取并对 VBA 宏源码进行去混淆
6. 使用 `mraptor` 检测 AutoExec、Write、Execute 宏行为
## 展示的关键概念
- Office 文档取证方法论
- OLE 容器结构分析
- 从静态指标识别 CVE (CVE-2017-11882)
- VBA 宏分类与行为标记检测
- 文件类型不匹配作为一种恶意软件规避技术
- 加密和十六进制字符串混淆作为 AV 规避技术
- 通过加密哈希实现的证据保管链
## 样本来源
两个样本均来源于 MalwareBazaar (bazaar.abuse.ch),这是一个由 abuse.ch 运营的精选威胁情报平台,用于安全研究目的。
## 参考
- CVE-2017-11882: Microsoft Equation Editor RCE
- oletools 由 Philippe Lagadec 开发: https://github.com/decalage2/oletools
- MalwareBazaar: https://bazaar.abuse.ch
- REMnux 文档: https://docs.remnux.org
标签:DAST, oletools, REMnux, VBA宏分析, 云安全监控, 恶意软件分析, 数字取证, 文档取证, 知识库安全, 自动化脚本, 静态分析