بسم الله الرحمن الرحيم
بكتب اليوم لكم عن تحدي APT1 اللي نزله hitman بتويتر، حللت أبو التحدي الصراحه رهيب! أول مرة احلل وانا فاهمه بوريكم 3 طرق تحلونه فيه
- نستخدم macro editor حق word نفسه
- نستخدم تولز اسمها OleVba ونحلل منها
- نشوف procmon
نبدأ ؟
أول شيء عطانا ملف pcapng حق الشبكة
سويت follow stream عشان افهم شنو اللي قاعد يصير ، فهمت ان عندي ملف يتسوى لها upload
طيب نضغط عالباكيت ونشوف شنو data اللي قاعد يسوي له post ؟
حلوين نسوي export packet byte
ونبدأ شغل عليها، طيب الحين لو غيرت ext لـ zip راح يحذفه لي windows defender فخلونا ننقل الملفات الى isolated machine هنا عرفت انه word بوريكم شي يوضح لكم فكرة مايكروسفت في حفظ docm
ممتاز وصلنا خير الحين بغير extension وأخليها docm وبمشي معاكم وأوريكم 3 طرق اللي تكلمت عنها فوق
1- Word docx analysis
نفتحها بالوورد
لو فتحنا الماكرو بدون ما نشغلها من visual basic نقدر نشوف ونوصل لرابط الفلاق عاليمين بس نسوي replace حق الكلمات اللي حاطها
2- OleVBA tool
نستخدم أداة OleVBA هنا عطتنا معلومات عن الملف
نقدر بعد نسوي له reveal عشان نشوف source code
3- Dynamaic analysis with procomon
أخيرًا ممكن نستخدم procmon ونشوف التغيرات اللي تصير بعد ما يشتغل الماكرو
نحط الفلتر
نشيك عالنتائج ،،،
ههههههههههههههه ماكو شي! ما اشتغل معي الماكرو والصراحة ما حمل الملف بالباث اللي طلع معانا بالتحليلات أهم شي الفكرة وصلت اذا حمل معاكم وروني سويت كل الطرق عشان أصير ضحية بس ماكو فايدة 😂😂
