Lagadec Philippe

Nous sommes en 2021, et les documents malveillants (aussi appelés « maldocs ») sont toujours d'actualité, depuis la fin des années 90 avec les macro-virus VBA comme Melissa, et surtout depuis leur grand retour vers 2014. En 2020, on a même vu ressurgir de l'oubli les macros Excel 4 qui datent de... 1992 ! Aujourd'hui, les maldocs sont utilisés comme vecteur d'attaque initial pour de nombreuses familles de malware comme Hancitor, ZLoader, Emotet, Qakbot ou encore des groupes comme Sofacy/APT28. Dans cet article, nous allons voir comment analyser différents types de documents malveillants à l'aide d'outils libres : oletools, msoffcrypto-tool, ViperMonkey et XLMMacroDeobfuscator.

Melissa vient de fêter ses seize ans. Il y a quelques mois, si on m'avait dit que j'écrirais un article sur les Macros Office dans MISC en 2015, j'aurais fait des yeux ronds. Dans le monde du malware, les macros étaient devenues ringardes depuis bien longtemps, une technologie obsolète du siècle dernier dont on ne parlait plus que dans les manuels d'histoire de la cybersécurité. Et pourtant... Les macros sont de retour, et le succès est là, comme les stars des années 80 en tournée !Combien de temps cela va-t-il durer ? Mystère. En tout cas, il est aujourd'hui de bon ton de savoir comment détecter et analyser ces documents avec macros envoyés par des inconnus.