정보보안/Spear-Phishing
2023. 8. 30.
[Spear-Phishing] Malicious MS-Office Document Excel 4.0 VBA Macro Analysis
1. XLS Structure XLS 문서는 작은 파일시스템과 같은 포맷을 가지고 있다. CFBF OLE 구 버전 MS 오피스 프로그램에서 사용 2. File Analysis 파일을 분석하기 위해 oleid로 분석 대상 파일을 살펴본다. 살펴본 결과 XLM Macro가 들어있음을 알 수 있다. 우선 파일의 문자열을 추출해 살펴보자. C2도메인으로 추정되는 문자열이 보인다. 다음으로 olevba를 이용해 VBA매크로, 암호화, 난독화, IOC(IP주소, URL, 실행파일)등을 살펴본다. 의심되는 sheet 두 개가 나왔고 하나는 very hidden 속성을 가지고 있다. Exec을 통해 매크로가 허용됐을 때 페이로드에 있는 파일을 가져오는 것이라고 추측된다. 이번엔 oledump 도구를 이용해 분석해보자...