Analyse de documents MS Office et macros malveillantesPhilippe Lagadec

En 2003 au 1er SSTIC j’avais présenté les différents formats de fichiers pouvant contenir du code malveillant, comme les documents MS Office qui peuvent exécuter des macros VBA. En 2014-2015, alors qu’il devient plus difficile d’écrire des exploits efficaces grâce au déploiement des sandbox dans Adobe Reader ou MS Office, nous assistons au retour en force des macros MS Office dans l’arsenal des auteurs de malware. Cet article décrit la structure des documents Office et des macros, montre les possibilités offertes par les macros VBA malveillantes en s’appuyant sur plusieurs exemples de malware récents, puis explique comment les analyser grâce à plusieurs outils open source publiés récemment (oledump, olevba). Il couvre également les diverses méthodes d’obfuscation employés dans les malwares, et montre comment un interpréteur VBA spécialisé permet leur déobfuscation automatique.