pdf viewer in c# code project : Paste image into pdf in preview SDK software API wpf winforms web page sharepoint sophos-microsoft-word-intruder-revealed1-part1387

10
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
MWI is unusual because it stores the encrypted payload at the start, followed 
by one or more blocks of exploit code. Most booby-trapped documents that 
are not generated by MWI are the other way around, with the exploit blocks 
first, and the encrypted payload at or near the end of the infectious file.
Putting the payload at the end of the file is easier for attackers who are handcrafting 
their booby-trapped files, because simply appending new content can change the 
payload. But for an automated system like MWI, which creates each booby-trapped 
file from scratch, the order of the malicious components is unimportant.
The first stage shellcode starts with a polymorphic decryptor. The most 
common variation of the decoder uses a simple one-byte XOR algorithm 
with a curious twist: after XORing, bytes that are even numbers (0,2,4...) 
are incremented, while odd bytes (1,3,5...) are decremented.
The decryptor contains many pointless instructions, presumably in an 
effort to disguise the loop. The meaningful instructions are highlighted; the 
others could be removed without affecting the outcome of the loop:
sub     dh, dh
shl     ebx, 90h
or      dh, 0CDh
and     ebx, ebx
mov     bl, 0D4h
mov     dl, [eax]
sub     edi, 0BF9E6EEDh
add     ebx, ebx
xor     dl, dh
lea     di, [esp+18h]
test    dl, 1
jnz     short loc_20D
or      bh, 0F9h
add     dl, 1
shl     bl, 8Eh
jmp     short loc_216
shl     bh, 0C9h
sub     di, 0AC43h
dec     dl
sub     ebx, edi
xor     bh, bh
mov     [eax], dl
shr     edi, 8Bh
add     esi, 1
shl     edi, 9Ah
sub     eax, 0FFFFFFFFh
or      edi, 0A9C31F3Ah
cmp     esi, ecx
jnz     short loc_1E7
Paste image into pdf in preview - copy, paste, cut PDF images in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Detailed tutorial for copying, pasting, and cutting image in PDF page using C# class code
how to copy and paste image from pdf to word; cut and paste pdf images
Paste image into pdf in preview - VB.NET PDF copy, paste image library: copy, paste, cut PDF images in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET Tutorial for How to Cut or Copy an Image from One Page and Paste to Another
preview paste image into pdf; copy image from pdf to powerpoint
11
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
The shellcode that is unscrambled by the above decryptor is also characteristic 
of MWI: it is what is sometimes called “memory egg-hunting” code, documented 
in [3] and [8]. “Egg-hunting” means that the shellcode scans through memory 
and locates its payload data by looking for a special recognition marker. 
Non-MWI-based document malware usually uses other techniques for finding its payload, 
such as “file egg-hunting,” which involves enumerating all open file handles (one of which 
will be the booby-trapped document itself) and searching through files instead of memory. 
The first stage code generated by MWI uses the IsBadReadPtr based egg-
hunting, as described in [11]. This code locates the second stage in the 
memory, using 12 consecutive identification bytes (in the following example 
these are three DWORDS: 0x79795151, 0x79795151 and 0xd2d29393):
The “memory egg-hunting” method makes use of the fact that as Word 
processes an RTF file, the parsed content it has loaded will be visible in 
memory somewhere in the memory pages allocated to Word.
Of course, the memory allocated to Word is accessible to the shellcode, which is running 
in the context of Word. The “egg-hunter” therefore performs a brute-force search on all 
readable memory pages. In one of them, it will find the start marker of the second stage:
VB.NET PDF insert image library: insert images into PDF in vb.net
Insert images into PDF form field in VB.NET. An independent .NET framework component supports inserting image to PDF in preview without adobe PDF control
copy pdf picture to powerpoint; how to cut image from pdf file
VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
enables compressing and decompressing in preview in ASP.NET to reduce or minimize original PDF document size Reduce image resources: Since images are usually or
copy and paste image from pdf to word; copying a pdf image to word
12
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
Note that the shellcode above searches for 4-byte binary values (e.g. 
0x79795151). But in the raw RTF, these bytes appear as the 8-byte text string 
“51517979”. RTF files, by design, are encoded as printable ASCII text, with 
binary values turned into hexadecimal strings. Word automatically converts 
these ASCII strings back into binary data when it loads the RTF. 
Once the recognition marker is found, the “egg-hunt” is complete. The shellcode 
assumes that the data immediately following it is the payload, and decrypts it.
This second stage is also encrypted, this time with a one-byte XOR algorithm that leaves 
zero bytes (0x00) alone. The key can be either constant, or modified at each iteration step.
(Early MWI samples XORed every byte, but XORing a run of zero bytes with 
a key such as “012345689” simply produces the string “0123456789”, 
making the key rather obvious. So the algorithm was adapted.)
If the payload is an embedded executable, the bytes “MZ” are added at the beginning 
of the decrypted file. These bytes are used by Windows to identify executable files.
Once the second stage is decrypted, it is copied to a newly allocated memory 
block (HeapCreate is used for the allocation) and the shellcode jumps to it.
From this point, droppers and downloaders follow slightly different execution paths.
C# PDF insert image Library: insert images into PDF in C#.net, ASP
inserting image to PDF in preview without adobe PDF reader installed. Able to zoom and crop image and achieve image resizing. Merge several images into PDF.
copy a picture from pdf to word; paste image into preview pdf
C# PDF insert text Library: insert text into PDF content in C#.net
Supports adding text to PDF in preview without adobe reader installed in ASP.NET. value, The char wil be added into PDF page, 0
how to copy picture from pdf to word; cut and paste image from pdf
13
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
Droppers
A decrypted dropper consists of two parts: more shellcode, and a memory block 
containing the final malware sample for delivery. The first-stage shellcode jumps 
to the second-stage dropper code, which writes the malware to disk and runs it.
The malware ends up in a file called %LOCAL SETTINGS%\ntxobj.exe  
(or, in more recent MWI versions, in %LOCAL SETTINGS%\Temporary Internet Files\
Content.Word\~WRX4014.tmp).
The dropped file is executed either by using the CreateProcessA Windows function, 
or by using the WMI COM interface [12][13][14]. The process creation logic used 
by WMI-based droppers is taken from the MSDN examples [15] and [16].
Using WMI for execution of the dropped executable is unusual. We assume 
that Microsoft Word Intruder uses this as a trick to try to bypass real-
time security products that do not monitor the use of WMI.
C# PDF remove image library: remove, delete images from PDF in C#.
Able to cut and paste image into another PDF file. Export high quality image from PDF document in .NET program. Remove PDF image in preview without adobe PDF
how to copy pdf image into powerpoint; how to copy and paste a picture from a pdf
How to C#: Preview Document Content Using XDoc.PowerPoint
Add necessary XDoc.PowerPoint DLL libraries into your created C# application as You may get document preview image from an existing PowerPoint file in C#.net.
how to copy a picture from a pdf; paste image into pdf preview
14
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
Downloaders
A decrypted downloader works similarly, except that the dropped 
executable is fetched using the URLDownloadToFileA function, rather 
than copied out of memory. The URL is appended to the shellcode.  
The malware file is downloaded to one of the filenames mentioned above for 
the dropper variants, and executed in the same way as in the dropper case.
How to C#: Preview Document Content Using XDoc.Word
Get Preview From File. You may get document preview image from an existing Word file in C#.net. You may get document preview image from stream object in C#.net.
how to copy pdf image to word; how to copy images from pdf to word
C# WinForms Viewer: Load, View, Convert, Annotate and Edit PDF
Convert PDF to Tiff image (.tif, .tiff). • Convert PDF to HTML (.htm, .html). PDF Annotation. • Add sticky notes to PDF document in preview.
copy image from pdf reader; how to copy pictures from pdf in
15
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
C&C communication flow
As mentioned earlier in this paper, MWI provides a supplemental module called 
MWISTAT to facilitate its communication with a C&C server, and to keep track of the 
various malware distribution campaigns (called “threads” in MWISTAT terminology). 
The server-side component is a collection of PHP scripts, and during the 
infection process the booby-trapped document on the victim’s computer 
triggers HTTP requests to “call home” with tracking data.
The server differentiates between downloaders (“EXTERNAL threads” 
in MWISTAT terminology, because the malware is external to the booby-
trapped RTF file) and droppers (“INTERNAL threads” in MWISTAT 
terminology, because the malware is embedded inside the RTF file).
The first “call-home” is triggered when an infectious document is opened. 
This happens because the RTF links to an image file on the C&C server. 
Word fetches this otherwise harmless image as part of rendering the 
document. The image therefore acts as a tracking beacon for MWI.
VB.NET PDF File Split Library: Split, seperate PDF into multiple
Divide PDF file into multiple files by outputting PDF file size. Independent component for splitting PDF document in preview without using external PDF
how to copy pictures from pdf file; copy pdf picture to word
16
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
Note that the image call-home is independent of the exploit, and will happen 
even if the exploit fails. The general structure of an MWI image URL is:
INCLUDEPICTURE “{serverpath}/{mainscript}?id={campaign_ID}
Here, {campaign_ID} is an 8 digit number, randomly generated for 
each new malware campaign, or distribution thread. 
When the server receives this request, it will add the calling-home computer to its 
database of potential victims and set its status to OPEN. In response to the request, the 
server sends back an innocent, empty JPEG file. The received picture file is not used 
in the infection process; its only purpose is to make the C&C traffic look innocent.
The next step occurs if one of the exploits is triggered. The second-stage 
shellcode connects back to the C&C server to signal that it has succeeded.
In case of downloaders, the shellcode sends an HTTP request that 
looks like the image URL, but with an appended &act=1 tag. 
{serverpath}/{mainscript}?id={campaign_ID}&act=1
This tag tells the server that an “EXTERNAL thread” request arrived. 
The server sets the status of the victims to LOAD (meaning that 
the exploit worked) and returns the payload executable.
17
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
The payload corresponding to the campaign is stored on the 
server with the filename {campaign_ID}.exe.
In case of droppers, the shellcode uses the tag &act=2 instead.
18
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
This tag tells the server that an “INTERNAL thread” request arrived. At this point the 
server sets the status of the victims to LOAD (indicating that the exploit was loaded). 
No executable file is returned because the malware is embedded in the MWI file itself
Once the delivered malware is active on the victim’s computer, it lives a life of its own, 
typically establishing communication with a completely different C&C server.
Payload
MWI seems to have been very broadly popular with other cybercrimals, for whom Objeckt 
is effectively operating an “exploits-as-you-need-them” malware creation service. 
We found that samples from practically all high-profile malware families 
have been delivered by MWI-generated droppers and downloaders.
25%
18%
6%
6%
4%
2%
2%
2%
2%
2%
2%
2%
2%
2%
2%
2%
1%
Zbot
Carberp
Buhtrap
HawkEye
NetWiredRC
Timba  
Andromeda 
Bandok 
Corkow 
Dofoil   
Dyzap  
Limitail 
RemoteUtilities
Teamview 
Toshliph 
Wauchos 
Other   
19
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
Indeed, the complete list of distributed payloads is very wide ranging, and 
includes money-stealing Trojans, commercial password stealers (HawkEye) 
and Remote Access Tools (e.g. TeamViewer, Ammyy and Remote Utilities).
A partial list of malware families that have been distributed via MWI includes:
Andromeda
Fsysna
Sopinar
Badur
Gamarue
SpyGate
Bandok
Kasidet
Staser
Buhtrap
Limitail
Throwback
Carberp
NetWiredRC
Tinba
Corkow
Omaneat
Toshliph
Cromptui
Peaac
Trontoz
CryptoWall
Ransom
Vawtrak
Dofoil
Repezor
VBSFlood
Dyreza
Rovnix
Wauchos
Dyzap
Sekur
Zbot 
Evotob
Sheldor
(A partial list of SHA1 sample hashes can be found in the Appendix.)
In other words, even though the Microsoft Word Intruder kit is advertised for 
targeted attacks, which are usually associated with nation-state intrusions or 
other focused surveillance operations, it seems that its primary users are money-
making cybercriminals aiming for smaller, less obvious, malware campaigns.
It seems that some cybergangs are learning that less really can be more.
Documents you may be interested
Documents you may be interested