cccs/assemblyline-service-oletools
Assemblyline 4 Microsoft OLE/XML file analysis service
5M+
This Assemblyline service extracts metadata and network information, and reports on anomalies in Microsoft OLE and XML documents using the Python library py-oletools and hachoir.
The Oletools service will report the following information for each file when present:
Individual Macros: (AL TAG: technique.macro)
Embedded document streams and OLE information:
Name and metadata (author, company, last saved time, etc). AL TAGS:
file.ole.summary.title,
file.ole.summary.subject,
file.ole.summary.author,
file.ole.summary.comment,
file.ole.summary.last_saved_by,
file.ole.summary.last_printed,
file.ole.summary.create_time,
file.ole.summary.last_saved_time,
file.ole.summary.manager,
file.ole.summary.company,
file.ole.summary.codepage
CLSIDs (flags known malicious values). (AL TAG: file.ole.clsid)
Suspicious XML/OLE Stream features:
MSO DDE Links (AL TAG: file.ole.dde_link)
Possible VBA stomping. Determined when difference in suspicious content exists between macro dump and pcode dump.
Service will extract:
If in deep scan mode, all OLE streams will be extracted and hachoir will run its deep object analysis.
Assemblyline services are built from the Assemblyline service base image, which is based on Debian 11 with Python 3.11.
Assemblyline services use the following tag definitions:
Tag Type | Description | Example Tag |
---|---|---|
latest | The most recent build (can be unstable). | latest |
build_type | The type of build used. dev is the latest unstable build. stable is the latest stable build. | stable or dev |
series | Complete build details, including version and build type: version.buildType . | 4.5.stable , 4.5.1.dev3 |
This is an Assemblyline service. It is designed to run as part of the Assemblyline framework.
If you would like to test this service locally, you can run the Docker image directly from the a shell:
docker run \
--name Oletools \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-oletools
To add this service to your Assemblyline deployment, follow this guide.
General Assemblyline documentation can be found at: https://cybercentrecanada.github.io/assemblyline4_docs/
Ce service Assemblyline extrait des métadonnées et des informations sur le réseau, et signale les anomalies dans les documents Microsoft OLE et XML à l'aide des bibliothèques Python py-oletools et hachoir.
Le service Oletools signale les informations suivantes pour chaque fichier lorsqu'il est présent :
Macros individuelles : (AL TAG : technique.macro)
Flux de documents intégrés et informations OLE :
Nom et métadonnées (auteur, société, dernière heure de sauvegarde, etc.). AL TAGS :
file.ole.summary.title,
file.ole.summary.subject,
file.ole.summary.author,
fichier.ole.sommaire.commentaire,
fichier.ole.summary.last_saved_by,
file.ole.summary.last_printed,
file.ole.summary.create_time,
file.ole.summary.last_saved_time,
file.ole.summary.manager,
fichier.ole.summary.company,
file.ole.summary.codepage
CLSIDs (drapeaux de valeurs malveillantes connues). (AL TAG : file.ole.clsid)
Caractéristiques des flux XML/OLE suspects :
Liens DDE MSO (AL TAG : file.ole.dde_link)
Possibilité d'utilisation de VBA. Déterminé lorsqu'il existe une différence de contenu suspect entre le dump macro et le dump pcode.
Le service extrait :
En mode d'analyse approfondie, tous les flux OLE seront extraits et hachoir effectuera une analyse approfondie des objets.
Les services d'Assemblyline sont construits à partir de l'image de base Assemblyline service, qui est basée sur Debian 11 avec Python 3.11.
Les services d'Assemblyline utilisent les définitions d'étiquettes suivantes:
Type d'étiquette | Description | Exemple d'étiquette |
---|---|---|
dernière version | La version la plus récente (peut être instable). | latest |
build_type | Type de construction utilisé. dev est la dernière version instable. stable est la dernière version stable. | stable ou dev |
série | Détails de construction complets, comprenant la version et le type de build: version.buildType . | 4.5.stable , 4.5.1.dev3 |
Ce service est spécialement optimisé pour fonctionner dans le cadre d'un déploiement d'Assemblyline.
Si vous souhaitez tester ce service localement, vous pouvez exécuter l'image Docker directement à partir d'un terminal:
docker run \
--name Oletools \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-oletools
Pour ajouter ce service à votre déploiement d'Assemblyline, suivez ceci guide.
La documentation générale sur Assemblyline peut être consultée à l'adresse suivante: https://cybercentrecanada.github.io/assemblyline4_docs/
docker pull cccs/assemblyline-service-oletools