1. Triage
우선 HexDump명령어로 해당 파일의 시그니처를 살펴보자.
파일의 형식을 살펴보면 zip인 것을 알 수 있다.
이제 unzip을 해서 파일을 살펴보자.
예시로 app.xml을 살펴보면
템플릿 정보가 나온다.
이제 yara룰을 통해 악성코드를 식별해보자.
yara로는 이상징후를 판별할 수 없다.
oleid를 사용해보자.
외부 관계에 의한 악성요소가 보인다. 자세한 것은 oleobj를 통해 찾아보자.
oleobj를 보면 frame 속성이 외부와 참조를 맺고 있다.
참조관계는 TargetMode 속성값으로 대상이 문서의 내부에서 참조되는지 외부에서 참조되는지 알 수 있다.
실제 문서 내에는 악성 행위를 위한 페이로드가 존재하지 않지만 사용자가 문서를 열람할 때
참조된 외부 링크로 악성 페이로드가 다운로드되어 문서에 포함될 수 있다.
2. Reference Object Analysis
해당 주소로 이동해 document.doc를 다운로드 받으면 RTF 문서가 다운받아진다.
RTF파일에는 매크로를 심을 수 없기에 난독화된 익스플로잇 코드가 들어있을 확률이 높다.
yara 룰을 통해 매칭해보면 매칭된 패턴이 없기에 rtfdump를 통해 개체에 대한 정보를 알아보자.
수식을 편집할 수 이는 equation이 있으므로 수식편집기에 대한 익스플로잇을 진행할 확률이 크다.
3. ShellCode Analysis
이번엔 셸코드가 들어있는지 oleobj로 추출해 scdbg를 통해 확인해보자.
0번째부터 동적분석을 진행해보면
외부 도메인으로부터 vbc.exe를 다운로드 받는 것을 볼 수 있다.
