Jesienne usprawnienia w dostarczaniu wirusów Microsoft Office

Analiza wirusa w dokumencie Microsoft Office jest mało porywającym procesem. Jego pierwszy krok to w większości przypadków wyekstrahowanie kodu Visual Basic składającego się na część wykonawczą. Bez uruchamiania pliku jest to możliwe do wykonania za pomocą narzędzi oletools. Są one dostępne jako paczka dla Pythona instalowana przez pip. Tam razem jednak oletools nie dał sobie rady.

Porażka programu olevba nie wynikała jednak ze sztuczki zastosowanej w poprzedniej kampanii (dołączanej do maila o identycznej treści), którą było zastosowanie kodowania znaków "wykładającego" Pythona. Był to zabieg zdecydowanie "pod oletools", utrudniający analizę. Nowy dokument zastosował inną sztuczkę - szyfrowanie. W ten sposób utrudnił pracę nie tylko zestawowi oletools, ale także skanerom antywirusowym.

Szyfrowanie dokumentów Office to tak naprawdę zbiór bardzo wielu, zaskakująco zaawansowanych technik. Może ono dotyczyć np. tylko możliwości edycji, a nie otwierania dokumentu. Tak zaszyfrowany dokument jest możliwy do przeczytania, ale funkcje kopiowania i edycji są wyłączone (chronione hasłem).

Nawet, gdy szyfrowanie dotyczy tylko edycji, cały dokument OOXML jest zapisywany jako blob w formacie Microsoft.Container.EncryptionTransform, co czyni plik DOCX/XLSX, formalnie tekstowy (XML), plikiem binarnym. Z tego powodu oletools nie umiał się do niego dobrać, a antywirusy nie dostrzegają w nim zagrożenia.

Chwila - na pewno? Makro powinno zostać zapisane jako oddzielny blob, a w pliku jest tylko jeden. W dodatku po otwarciu nie pojawia się żadna informacja na temat makr. Czyżby makra po prostu nie było? To byłoby coś! Uszkodzona kampania. Poprawialiśmy już błędy składniowe w wirusie, żeby się kompilował, ale jeszcze się nie trafiło, żeby wirusa po prostu nie załączono.

Niestety, nie jest tak pięknie. Choć zaszyfrowanie dokumentu jest ciekawą, nową metodą ukrycia się przed analizatorami i antywirusem, prawdziwym problemem jest co innego. Plik ten istotnie nie ma makr… ale dalej jest złośliwy. Korzysta z dziury w Edytorze Równań, załatanej w 2017 roku w wersjach 2007, 2010, 2013 i 2016.

Dziura ta dotyczy składnika, który w wersji 2007 i nowszych jest "ciałem obcym" wewnątrz Office'a. Aktualizacje do niego są zależne od języka - a to oznacza, że składnika nie przebudowano wraz z resztą pakietu. W istocie: trwa on zamrożony w czasie od roku 2000 i jest prawdopodobnie niemożliwy do przebudowania. Jedną z hipotez, jaką jest np. zagubienie kodu źródłowego, opisywał niegdyś eimi.

Ale aktualizacja powstała, i to już 4 lata temu. Skąd więc pomysł, by celować w Polskę z kampanią korzystającą z czteroletniej, załatanej dziury? Wątpliwym jest, że chodzi o wersje starsze niż 2007, bo dokument jest w formacie XLSX (istnieją pakiety zgodności dla Office 2003, ale tę osiemnastoletnią wersję pakietu naprawdę już dziś trudno znaleźć). Office 365 aktualizuje się sam, a "lewa" wersja 2010/2013/2016 wymaga aktywatorów KMS regularnie usuwanych przez antywirusy.

Najbardziej sensowne wytłumaczenie to najwyraźniej Office 2007 z wyłączonymi aktualizacjami. Instalator Office sam prosi o odblokowanie Windows Update, skąd pobrałaby się łatka dla Edytora Równań. Więc celem kampanii jest nie tylko 2007, ale i nieaktualizowany Office 2007.

Można teoretyzować dalej. Nie ma żadnego powodu motywującego wyłączanie aktualizacji Office poza obawą związaną z używaniem nielicencjonowanego oprogramowania (obawą, w przypadku Office 2007, uzasadnioną wyłącznie względami prawnymi, w praktyce bowiem Windows Update łata i "lewe" wersje). Jeżeli to "kradziony" Office 2007 jest wytłumaczeniem dla ostatniej kampanii mailowej, oznacza to że w Polsce działa na tyle dużo kopii Office'a bez licencji, że opłaca się pod nie pisać wirusy.