cccs/assemblyline-service-xlmmacrodeobfuscator

Sponsored OSS

By Canadian Centre for Cyber Security

Updated 3 months ago

Assemblyline 4 XLM macro deobfuscator service

Image
Security
0

1M+

cccs/assemblyline-service-xlmmacrodeobfuscator repository overview

Discord Static Badge Static Badge GitHub Issues or Pull Requests by label License

XLMMacroDeobfuscator Service

This services decodes obfuscated XLM macros (also known as Excel 4.0 macros).

Service Details

This service wraps the excellent tool XLMMacroDeobfuscator published by DissectMalware which utilizes an internal XLM emulator to interpret the macros, without fully performing the code.

Original license for the library can be found here.

Thank you @DissectMalware for releasing this tool!

Image variants and tags

Assemblyline services are built from the Assemblyline service base image, which is based on Debian 11 with Python 3.11.

Assemblyline services use the following tag definitions:

Tag TypeDescriptionExample Tag
latestThe most recent build (can be unstable).latest
build_typeThe type of build used. dev is the latest unstable build. stable is the latest stable build.stable or dev
seriesComplete build details, including version and build type: version.buildType.4.5.stable, 4.5.1.dev3

Running this service

This is an Assemblyline service. It is designed to run as part of the Assemblyline framework.

If you would like to test this service locally, you can run the Docker image directly from the a shell:

docker run \
    --name Xlmmacrodeobfuscator \
    --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
    --network=host \
    cccs/assemblyline-service-XLMMacroDeobfuscator

To add this service to your Assemblyline deployment, follow this guide.

Documentation

General Assemblyline documentation can be found at: https://cybercentrecanada.github.io/assemblyline4_docs/

Service XLMMacroDeobfuscator

Ce service décode les macros XLM obfusquées (également connues sous le nom de macros Excel 4.0).

Détails du service

Ce service intègre l'excellent outil XLMMacroDeobfuscator publié par DissectMalware qui utilise un émulateur XLM interne pour interpréter les macros, sans exécuter complètement le code.

La licence originale de la bibliothèque peut être trouvée ici.

Merci à @DissectMalware d'avoir publié cet outil!

Variantes et étiquettes d'image

Les services d'Assemblyline sont construits à partir de l'image de base Assemblyline service, qui est basée sur Debian 11 avec Python 3.11.

Les services d'Assemblyline utilisent les définitions d'étiquettes suivantes:

Type d'étiquetteDescriptionExemple d'étiquette
dernière versionLa version la plus récente (peut être instable).latest
build_typeType de construction utilisé. dev est la dernière version instable. stable est la dernière version stable.stable ou dev
sérieDétails de construction complets, comprenant la version et le type de build: version.buildType.4.5.stable, 4.5.1.dev3

Exécution de ce service

Ce service est spécialement optimisé pour fonctionner dans le cadre d'un déploiement d'Assemblyline.

Si vous souhaitez tester ce service localement, vous pouvez exécuter l'image Docker directement à partir d'un terminal:

docker run \
    --name Xlmmacrodeobfuscator \
    --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
    --network=host \
    cccs/assemblyline-service-XLMMacroDeobfuscator

Pour ajouter ce service à votre déploiement d'Assemblyline, suivez ceci guide.

Documentation

La documentation générale sur Assemblyline peut être consultée à l'adresse suivante: https://cybercentrecanada.github.io/assemblyline4_docs/

Tag summary

Content type

Image

Digest

sha256:4c7861bb2

Size

213 MB

Last updated

3 months ago

docker pull cccs/assemblyline-service-xlmmacrodeobfuscator:stable

This week's pulls

Pulls:

525

Last week