본문 바로가기

DevByGiu

250x250

Notice

Link

Calendar

Archives

Visits

Today

Yesterday

728x90

분석

[Spear-Phishing] Malicious MS-Office Document Exploit Analysis

정보보안/Spear-Phishing 2023. 8. 31. [Spear-Phishing] Malicious MS-Office Document Exploit Analysis 1. Triage oleid를 사용해 이상징후 확인 외부링크를 통해 페이로드가 들어올 수 있다. HxD로 파일을 분석해보자. ZIp과 동일한 구조이므로 unzip할 수 있다. 2. cvc Analysis 압축을 푼 파일의 word파일 내부에 document.xml.rels파일을 살펴보자. 이부분이 앞서 본 external 부분이다. 하지만 이때 외부링크로부터 리소스를 가져오는 것을 볼 수 있다. MHTML은 MIME HTML로 이미지, 플래쉬 애니메이션 등을 담고 있다. 또한 로드될 때는 MSHTML로 로드되어 내부의 JavaScript가 실행된다. 이후 ActiveX가 실행되며 악성파일이 실행되고, calc.cab파일을 다운로드 받는 것으로 보인다. calc.cab를 실제로 다운로드 받으면 위와 같고 ..

[Spear-Phishing] Malicious MS-Office Document XLSB VBA Macro Analysis

정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious MS-Office Document XLSB VBA Macro Analysis 1. XLSB Structure OOXML/Open Pakaging Conventions(OPC) Binary 형태 파일로 스프레드시트 데이터를 저장 빠르게 읽고 쓸 수 있다. zip 기반 content types.xml은 패키지 파트의 내용 타입의 목록을 가진다. package 파일의 연관성을 가지는 Rels파일과, OOXML문서에 관련된 특성을 포함하는 app.xml/core.xml파일도 있다. xl 디렉토리에는 레이아웃등의 구성요소가 기능별로 나뉘어져 저장된다. 2. File Analysis 먼저 oleid를 통해 분석해보자. Risk가 High 수준의 VBA Macro가 들어있다. strings를 통해 문자열을 추출해보자. 문자열을 txt 파일로 저장해 powershell 코드 혹은 C2 도메인 ..

[Spear-Phishing] Malicious HWP Document Macro Analysis

정보보안/Spear-Phishing 2023. 8. 29. [Spear-Phishing] Malicious HWP Document Macro Analysis 1. Basic HWP문서는 5.0 이후부터 컴파운드 파일 포멧이라는 규격을 사용 파일의 첫 8바이트가 D0 CF 11 E0 A1 B1 1A E1로 이루어짐 파일 헤더 스트림에 파일 인식 정보인 HWP Document File이 존재 2. Triage 먼저 이번에 살펴볼 파일을 certutil을 사용해 16진수로 변환해준다. 위와 같이 변환해준 후 powershell을 통해 파일의 첫 8바이트를 보면 위에서 설명한 것과 같이 HWP 5.0의 시그니처가 보인다. 또한 헤더 스트림에 HWP Document File이 있는 것이 보인다. 위 코드는 hwp 확장자가 가진 정보를 알아본 것이다. hwp 파일은 여러 스트림과 스토리지로 구성되어 있는데 이중 스크립트 스토리지 속 JScriptVersion에는 Scr..

[Spear-Phishing] Malicious HWP Document Analysis

정보보안/Spear-Phishing 2023. 8. 27. [Spear-Phishing] Malicious HWP Document Analysis 1. HWP 악성감염의 징후 OLE 스트림을 포함하고, 실행파일을 포함하고 있다. - BinData 스토리지에 OLE 확장자를 가지고 있는 스트림이 존재하는지 확인 - HWP 파일의 압축을 푼 후, 패턴매칭을 활용해 실행 파일을 포함하고 있는 스트림이 존재하는지 확인 포스트 스크립트를 포함한 스트림이 존재한다. - PS또는 EPS 확장자를 가지고 있는 스트림이 존재하는지 확인 - 스트림 내용을 확인하여 정상적인 포스트 스크립트인지 확인 동일한 내용(사이즈)의 스트림이 다수 존재한다. 실행파일을 포함한 스트림이 존재한다. - HWP 파일의 압축을 푼 후, 패턴 매칭을 활용해 실행 파일을 포함한 스트림이 있는지 확인 스크립트를 포함하고 있다. - 스크립트 스토리지를 조사하여 스크립트를 포함하고 있는 스트림이..

[Spear-Phishing] ShellCode Analysis (API Hash Pattern Matching)

정보보안/Spear-Phishing 2023. 8. 27. [Spear-Phishing] ShellCode Analysis (API Hash Pattern Matching) 1. ShellCode란 Exploit의 페이로드로 이용되는 작은 크기의 코드 페이로드의 목적뿐만 아니라 악성코드 드엥 의해 다양한 상황과 목적에 활용됨 오늘날은 기계어와 데이터로 이루어져있음 셸코드를 분석하기에 앞서 셸코드의 동작방식을 이해해보자. 먼저 실행파일이 로더에 의해 로딩된 이후 다양한 DLL을 불러온다. (kernel32.dll , user32.dll) 프로그램이 실행되면 프로그램 내부의 헤더와 코드가 실행된다. 이후 라이브러리에 정의된 함수들을 호출하게 될 것이고, 리턴코드가 실행되면서 위 DLL들을 가져오게 된다. 만약 실행파일의 내부에 셸코드가 있다면, 가상 메모리 공간인 스택 버퍼 혹은 힙 버퍼에 적재될 수 있다. 셸코드는 각각의 라이브러리 내의 함수 주소를 알 수 없으므로 바인딩이라..

이전 1 다음

728x90

티스토리툴바