1. XLS Structure
- XLS 문서는 작은 파일시스템과 같은 포맷을 가지고 있다.
- CFBF
- OLE
- 구 버전 MS 오피스 프로그램에서 사용
2. File Analysis
파일을 분석하기 위해 oleid로 분석 대상 파일을 살펴본다.
살펴본 결과 XLM Macro가 들어있음을 알 수 있다.
우선 파일의 문자열을 추출해 살펴보자.
C2도메인으로 추정되는 문자열이 보인다.
다음으로 olevba를 이용해 VBA매크로, 암호화, 난독화, IOC(IP주소, URL, 실행파일)등을 살펴본다.
의심되는 sheet 두 개가 나왔고 하나는 very hidden 속성을 가지고 있다.
Exec을 통해 매크로가 허용됐을 때 페이로드에 있는 파일을 가져오는 것이라고 추측된다.
이번엔 oledump 도구를 이용해 분석해보자.
원래 VBA 분석에 사용되지만 XLM 분석에도 사용이 가능하다. 단 -x, --xlm 옵션을 지정해줘야한다.
의심스러운 sheet와 악성 페이로드 문자열이 보인다.
문서를 직접 열람해 페이로드가 존재하는지 확인해보자.
문서를 열면 main sheet 하나만 있고 숨기기 취소 버튼도 비활성화 되어있다.
이는 very hidden 속성을 가진 매크로 시트가 존재하기 때문이다.
이 시트를 찾아내기 위해서는 HxD를 이용해 BoundSheet 레코드의 일부를 수정해야 한다.
BoundSheet: XLS구조 중 하나로 시트 이름, 상태, 유형 등 정보가 저장된 레코드
BoundSheet는 85 00의 시그니처로 시작하므로 찾아준다.
hidden 속성을 가진 시트를 찾았다. 시트의 경우 디스플레이 시그니처가 존재하는데,
02 = 매우 숨김, 01 = 숨김, 00 = 숨김 해제로 이루어져있으므로 중간에 02값을 01로 바꿔주자.
숨기기 취소 버튼이 활성화되었고 hidden m@cro를 숨기기 취소해주면 payload문자열을 얻을 수 있다.
윈도우의 인스톨러 msiexec를 I옵션으로 특정 도메인으로부터 cykom1.msi 파일을 브라우저 임시파일로
다운로드하고 q옵션을 통해 설치시 UI를 설정한다.
C2서버에 현재 연결되지 않으므로 분석은 여기서 마친다.
'정보보안 > Spear-Phishing' 카테고리의 다른 글
| [Spear-Phishing] Malicious MS-Office Document XLSB VBA Macro Analysis (0) | 2023.08.30 |
|---|---|
| [Spear-Phishing] Malicious MS-Office Document PPAM Analysis (0) | 2023.08.30 |
| [Spear-Phishing] Malicious MS-Office Document Basic Extract (0) | 2023.08.30 |
| [Spear-Phishing] Malicious HWP Document Object Analysis (0) | 2023.08.30 |
| [Spear-Phishing] Malicious HWPX Document Analysis (0) | 2023.08.30 |
