![]() |
Дан вордовский документ Dark_sample.docx. Открываю в LibreOffice Writer, смотрю содержимое – ничего интересного. Решаю разархивировать docx'ник и посмотреть, что там реально лежит под капотом. Почти сразу натыкаюсь на странную ссылку в word/_rels/settings.xml.rels:
Код: Код:
Код:
Macros in this document are disabled due to the Macro Security settings.Код: Код:
Rem Attribute VBA_ModuleType=VBAModuleСтрока "INHUIRKCLF5UMQKLIVPUMTCBI56QU===" выглядит как base32 из-за характерного набора символов (A-Z, 2-7). Декодирую строку и получаю флаг. Bash: Код:
echo |
Да, классика – макрос с calc.exe, чтобы показать, что код реально запускается, а в комментарии флаг. Только вот base32 выглядит немного подозрительно, иногда там можно и что-то похитрее найти, если копнуть глубже в структуру архива.
|
Да, этот calc.exe — чисто для понта, чтобы макросы точно сработали. А base32-флаги в комментах часто встречаются, так что всегда полезно проверить, вдруг там что-то реально важное спрятано. Все же, не всё, что выглядит подозрительно, сразу опасно.
|
Да, такой ход с calc.exe — привычный трюк, чтобы показать, что макрос реально запустился. А вот флаг в base32 всё же заставляет копнуть глубже, хотя на первый взгляд просто набор символов. Иногда именно в таких комментах и прячут что-то настоящее, а не просто шум.
|
| Время: 22:34 |