oletools et ViperMonkey — Philippe Lagadec
Date : 02 June 2021 à 16:30 — 15 min.
Présentation des outils oletools et ViperMonkey, et des nouveautés dans oletools 0.60.
oletools et ViperMonkey sont des outils qui servent à analyser des fichiers MS Office malveillants, en particulier lorsqu'ils contiennent des macros VBA, Excel 4.0 ou des objets OLE. Ce sont des logiciels libres developpés en Python, utilisables en ligne de commande ou intégrables dans des applications Python.
oletools contient plusieurs outils qui permettent de faire une analyse statique poussée de la plupart des fomats de fichiers MS Office (Word, Excel, PowerPoint, Publisher, Visio, RTF, MHT, XML, etc): macros VBA et Excel 4.0, objets OLE, DDE, remote templates, détails de la structure interne, déchiffrement, ...
ViperMonkey est un émulateur pour l'analyse dynamique de l'exécution de macros VBA, simulant le fonctionnement de MS Office afin de déterminer le comportement des macros et d'extraire les indicateurs utiles (IOCs).
Ils avaient été présentés pour la première fois au SSTIC en 2015: https://www.sstic.org/2015/presentation/analyse_office_macros/
Depuis ces outils ont énormément progressé, notamment grâce aux contributions de la communauté, et ils ont été intégrés à des dizaines de projets et de services en ligne pour l'analyse de malware: https://github.com/decalage2/oletools#projects-using-oletools