728x90 스피어피싱 정보보안/Spear-Phishing 2023. 8. 31. [Spear-Phishing] Malicious MS-Office Document External Reference Analysis 1. Triage 우선 HexDump명령어로 해당 파일의 시그니처를 살펴보자. 파일의 형식을 살펴보면 zip인 것을 알 수 있다. 이제 unzip을 해서 파일을 살펴보자. 예시로 app.xml을 살펴보면 템플릿 정보가 나온다. 이제 yara룰을 통해 악성코드를 식별해보자. yara로는 이상징후를 판별할 수 없다. oleid를 사용해보자. 외부 관계에 의한 악성요소가 보인다. 자세한 것은 oleobj를 통해 찾아보자. oleobj를 보면 frame 속성이 외부와 참조를 맺고 있다. 참조관계는 TargetMode 속성값으로 대상이 문서의 내부에서 참조되는지 외부에서 참조되는지 알 수 있다. 실제 문서 내에는 악성 행위를 위한 페이로드가 존재하지 않지만 사용자가 문서를 열람할 때 참조된 외부 링크로 악성 페이.. 정보보안/Spear-Phishing 2023. 8. 31. [Spear-Phishing] Malicious MS-Office Document DDE Analysis 1. Triage DDE ( Dynamic Data Exchange ) 윈도우 응용 프로그램 간의 동일한 데이터를 공유하도록 허용하는 방법 다른 프로세스를 실행시킬 수 있어, 악성코드를 다운 받거나 실행시키도록함 oleid로 이번 악성문서를 먼저 분석해보자. 아무것도 나오지 않는다. 이 파일의 경우도 HxD로 열어보면 Zip파일과 동일한 구조이므로 압축해제하여 살펴보자. 아무런 이상징후가 발견되지 않았으므로 yara룰을 통해 검사해보자. 검사결과 document와 대치된다. 따라서 열어보면 DDE Auto를 사용하고 cmd를 통해 regsvr32.exe로 특정 url의 파일을 실행시킨다는 것을 알 수 있다. 2. VBS Analysis 이 코드는 vbscript 언어로 오브젝트를 생성해주고 VBProje.. 정보보안/Spear-Phishing 2023. 8. 31. [Spear-Phishing] Malicious MS-Office Document Exploit Analysis 1. Triage oleid를 사용해 이상징후 확인 외부링크를 통해 페이로드가 들어올 수 있다. HxD로 파일을 분석해보자. ZIp과 동일한 구조이므로 unzip할 수 있다. 2. cvc Analysis 압축을 푼 파일의 word파일 내부에 document.xml.rels파일을 살펴보자. 이부분이 앞서 본 external 부분이다. 하지만 이때 외부링크로부터 리소스를 가져오는 것을 볼 수 있다. MHTML은 MIME HTML로 이미지, 플래쉬 애니메이션 등을 담고 있다. 또한 로드될 때는 MSHTML로 로드되어 내부의 JavaScript가 실행된다. 이후 ActiveX가 실행되며 악성파일이 실행되고, calc.cab파일을 다운로드 받는 것으로 보인다. calc.cab를 실제로 다운로드 받으면 위와 같고 .. 정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious MS-Office Document XLSB VBA Macro Analysis 1. XLSB Structure OOXML/Open Pakaging Conventions(OPC) Binary 형태 파일로 스프레드시트 데이터를 저장 빠르게 읽고 쓸 수 있다. zip 기반 content types.xml은 패키지 파트의 내용 타입의 목록을 가진다. package 파일의 연관성을 가지는 Rels파일과, OOXML문서에 관련된 특성을 포함하는 app.xml/core.xml파일도 있다. xl 디렉토리에는 레이아웃등의 구성요소가 기능별로 나뉘어져 저장된다. 2. File Analysis 먼저 oleid를 통해 분석해보자. Risk가 High 수준의 VBA Macro가 들어있다. strings를 통해 문자열을 추출해보자. 문자열을 txt 파일로 저장해 powershell 코드 혹은 C2 도메인 .. 정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious MS-Office Document PPAM Analysis 1. PPAM Structure Microsoft PowerPoint에서 사용하는 add-in 파일로 프레젠테이션 개발 목적으로 사용됨. Power Point Add-in Macro OOXML 사용 zip 사용 PPAM 파일의 압축을 풀어 contents type xml파일을 열어보면 presentation, powerpoint등 정보를 알 수 있다. 다음으로 rels 파일을 열어보면 문서의 각 섹션간 관계 정보가 저장되어 있다. 압축이 된 구조와 유사하다. rels파일은 패키지가느이 관계를 나타내는 부분이 적혀 있다. docProps 디렉토리에는 파일 등록정보, 슬라이드, 썸네일이 있다. ppt 디렉토리에는 ppt의 기능들이 정리되어 있다. 2. Analysis 이제 oleid로 ppam파일을 분석해보.. 정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious MS-Office Document Excel 4.0 VBA Macro Analysis 1. XLS Structure XLS 문서는 작은 파일시스템과 같은 포맷을 가지고 있다. CFBF OLE 구 버전 MS 오피스 프로그램에서 사용 2. File Analysis 파일을 분석하기 위해 oleid로 분석 대상 파일을 살펴본다. 살펴본 결과 XLM Macro가 들어있음을 알 수 있다. 우선 파일의 문자열을 추출해 살펴보자. C2도메인으로 추정되는 문자열이 보인다. 다음으로 olevba를 이용해 VBA매크로, 암호화, 난독화, IOC(IP주소, URL, 실행파일)등을 살펴본다. 의심되는 sheet 두 개가 나왔고 하나는 very hidden 속성을 가지고 있다. Exec을 통해 매크로가 허용됐을 때 페이로드에 있는 파일을 가져오는 것이라고 추측된다. 이번엔 oledump 도구를 이용해 분석해보자... 정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious HWP Document Object Analysis 1. HWP Architecture HWP 3.X 버전의 시그니처 "48 57 50 20 44 6f 63 75" HWP 5.0 버전의 시그니처 "d0 cf 11 e0 a1 b1 1a e1" 5.0의 경우 OLE(Object Linking and Embedding)파일 기반 여러 개의 스토리지와 데이터 스트림으로 구성 2. OLE Based HWP Analysis 우선 버전을 확인하기 위해 시그니처를 살펴보면, 아래와 같이 5.0버전인 것을 알 수 있다. 이후 Oledump를 이용해 파일을 확인하고 png파일부터 OLE파일까지 모두 추출해줬다. 우선 추출된 파일들의 경우 한글 문서의 파일이므로 zlib을 통해 압축되어있을 것이다. 이를 decompress해줘야 정상적인 png파일의 시그니처도 살아날 것이다.. 정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious HWPX Document Analysis 1. HWPX OWPML 기반 (Open Word - Processor Markup Language) HWPML (Hangul Word-Processor Markup Language) 사용 HWP가 바이너리 파일 포맷이면, HWPX는 XML기반 개방형 파일 포맷이다. ZIP파일과 동일하다. (시그니처) 기존 HWP는 Postscript가 삽입되어 GhostScript를 익스플로잇했다면 HWPX는 HWP 프로세스에 의해 XML을 통해 악성코드를 실행하므로, XML에 Payload가 저장되어있다. eps파일이 없으므로 xml파일을 식별해야한다. 2. XML Analysis and ShellCode Analysis 준비된 XML의 주요 부분은 다음과 같다. color 정보는 gradation 버퍼에 저장되는데.. 정보보안/Spear-Phishing 2023. 8. 29. [Spear-Phishing] Malicious HWP Document Macro Analysis 1. Basic HWP문서는 5.0 이후부터 컴파운드 파일 포멧이라는 규격을 사용 파일의 첫 8바이트가 D0 CF 11 E0 A1 B1 1A E1로 이루어짐 파일 헤더 스트림에 파일 인식 정보인 HWP Document File이 존재 2. Triage 먼저 이번에 살펴볼 파일을 certutil을 사용해 16진수로 변환해준다. 위와 같이 변환해준 후 powershell을 통해 파일의 첫 8바이트를 보면 위에서 설명한 것과 같이 HWP 5.0의 시그니처가 보인다. 또한 헤더 스트림에 HWP Document File이 있는 것이 보인다. 위 코드는 hwp 확장자가 가진 정보를 알아본 것이다. hwp 파일은 여러 스트림과 스토리지로 구성되어 있는데 이중 스크립트 스토리지 속 JScriptVersion에는 Scr.. 이전 1 2 다음 728x90
![[Spear-Phishing] Malicious MS-Office Document External Reference Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/bNq07T/btssvgbsQsZ/J1FYDEPvmmpuVxgJyBFCoK/img.png)
![[Spear-Phishing] Malicious MS-Office Document DDE Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/Z6sXb/btssBZzFtI3/F9j0ZC2k2qlcxQ2Mfa1S21/img.png)
![[Spear-Phishing] Malicious MS-Office Document Exploit Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/cLnu2N/btssGileCat/uoF6w63bPWWiZb0RztMGWK/img.png)
![[Spear-Phishing] Malicious MS-Office Document XLSB VBA Macro Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/d3PWmV/btssIqprr3E/S70qHO4W3oB7KrZj6I4JtK/img.png)
![[Spear-Phishing] Malicious MS-Office Document PPAM Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/boogv7/btsswkriOjh/wx8QaUGaLIAHO47ma3jig1/img.png)
![[Spear-Phishing] Malicious MS-Office Document Excel 4.0 VBA Macro Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/pSZUT/btssGvx0icN/bgAynVYndgfVgGbhy5vbb1/img.png)
![[Spear-Phishing] Malicious HWP Document Object Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/Znj1S/btssAF2GWOs/zkQIfyuCNitwl9IoZYu8z1/img.png)
![[Spear-Phishing] Malicious HWPX Document Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/beQVvR/btssqyXtMNI/3kLRKTIuOpv2qiFVTCfWx1/img.png)
![[Spear-Phishing] Malicious HWP Document Macro Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https://blog.kakaocdn.net/dn/JtLoh/btssBsngjVZ/zZ4AKwbmkqd0qCra67zrFK/img.png)