Análisis Estático de Macros
Análisis Estático de Macros
1. Introduccion
Las macros en documentos de Office son un vector de ataque común para ejecutar código malicioso. El análisis estático permite identificar y extraer macros sin ejecutar el documento.
2. Herramientas
2.1. olevba
Analiza macros en documentos Office (formatos antiguos y modernos):
# Analizar documento
olevba documento.doc
# Verbose
olevba -v documento.xlsm
# Extraer macros
olevba --extract documento.docm
2.2. Officemaldoc
# Análisis rápido
officemaldoc documento.doc
3. Indicadores de Compromiso
Shell,Exec,Run- Ejecución de comandosAutoOpen,Workbook_Open- Ejecución automáticaCreateObject,WScript.Shell- Objetos del sistemaSaveToFile,ADODB.Stream- Escritura de archivosURLDownloadToFile- Descarga de archivos- Base64 encoded strings
4. Extracción de Macros
# Extraer todo
olevba --extract archivo.docm
# Ver contenido sin ejecutar
unzip -p archivo.docm vbaProject.bin | strings