본문 바로가기

DevByGiu

250x250

Notice

Link

Calendar

Archives

Visits

Today

Yesterday

728x90

악성문서

[Spear-Phishing] Malicious MS-Office Document External Reference Analysis

정보보안/Spear-Phishing 2023. 8. 31. [Spear-Phishing] Malicious MS-Office Document External Reference Analysis 1. Triage 우선 HexDump명령어로 해당 파일의 시그니처를 살펴보자. 파일의 형식을 살펴보면 zip인 것을 알 수 있다. 이제 unzip을 해서 파일을 살펴보자. 예시로 app.xml을 살펴보면 템플릿 정보가 나온다. 이제 yara룰을 통해 악성코드를 식별해보자. yara로는 이상징후를 판별할 수 없다. oleid를 사용해보자. 외부 관계에 의한 악성요소가 보인다. 자세한 것은 oleobj를 통해 찾아보자. oleobj를 보면 frame 속성이 외부와 참조를 맺고 있다. 참조관계는 TargetMode 속성값으로 대상이 문서의 내부에서 참조되는지 외부에서 참조되는지 알 수 있다. 실제 문서 내에는 악성 행위를 위한 페이로드가 존재하지 않지만 사용자가 문서를 열람할 때 참조된 외부 링크로 악성 페이..

[Spear-Phishing] Malicious MS-Office Document DDE Analysis

정보보안/Spear-Phishing 2023. 8. 31. [Spear-Phishing] Malicious MS-Office Document DDE Analysis 1. Triage DDE ( Dynamic Data Exchange ) 윈도우 응용 프로그램 간의 동일한 데이터를 공유하도록 허용하는 방법 다른 프로세스를 실행시킬 수 있어, 악성코드를 다운 받거나 실행시키도록함 oleid로 이번 악성문서를 먼저 분석해보자. 아무것도 나오지 않는다. 이 파일의 경우도 HxD로 열어보면 Zip파일과 동일한 구조이므로 압축해제하여 살펴보자. 아무런 이상징후가 발견되지 않았으므로 yara룰을 통해 검사해보자. 검사결과 document와 대치된다. 따라서 열어보면 DDE Auto를 사용하고 cmd를 통해 regsvr32.exe로 특정 url의 파일을 실행시킨다는 것을 알 수 있다. 2. VBS Analysis 이 코드는 vbscript 언어로 오브젝트를 생성해주고 VBProje..

[Spear-Phishing] Malicious MS-Office Document Exploit Analysis

정보보안/Spear-Phishing 2023. 8. 31. [Spear-Phishing] Malicious MS-Office Document Exploit Analysis 1. Triage oleid를 사용해 이상징후 확인 외부링크를 통해 페이로드가 들어올 수 있다. HxD로 파일을 분석해보자. ZIp과 동일한 구조이므로 unzip할 수 있다. 2. cvc Analysis 압축을 푼 파일의 word파일 내부에 document.xml.rels파일을 살펴보자. 이부분이 앞서 본 external 부분이다. 하지만 이때 외부링크로부터 리소스를 가져오는 것을 볼 수 있다. MHTML은 MIME HTML로 이미지, 플래쉬 애니메이션 등을 담고 있다. 또한 로드될 때는 MSHTML로 로드되어 내부의 JavaScript가 실행된다. 이후 ActiveX가 실행되며 악성파일이 실행되고, calc.cab파일을 다운로드 받는 것으로 보인다. calc.cab를 실제로 다운로드 받으면 위와 같고 ..

[Spear-Phishing] Malicious MS-Office Document XLSB VBA Macro Analysis

정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious MS-Office Document XLSB VBA Macro Analysis 1. XLSB Structure OOXML/Open Pakaging Conventions(OPC) Binary 형태 파일로 스프레드시트 데이터를 저장 빠르게 읽고 쓸 수 있다. zip 기반 content types.xml은 패키지 파트의 내용 타입의 목록을 가진다. package 파일의 연관성을 가지는 Rels파일과, OOXML문서에 관련된 특성을 포함하는 app.xml/core.xml파일도 있다. xl 디렉토리에는 레이아웃등의 구성요소가 기능별로 나뉘어져 저장된다. 2. File Analysis 먼저 oleid를 통해 분석해보자. Risk가 High 수준의 VBA Macro가 들어있다. strings를 통해 문자열을 추출해보자. 문자열을 txt 파일로 저장해 powershell 코드 혹은 C2 도메인 ..

[Spear-Phishing] Malicious HWP Document Object Analysis

정보보안/Spear-Phishing 2023. 8. 30. [Spear-Phishing] Malicious HWP Document Object Analysis 1. HWP Architecture HWP 3.X 버전의 시그니처 "48 57 50 20 44 6f 63 75" HWP 5.0 버전의 시그니처 "d0 cf 11 e0 a1 b1 1a e1" 5.0의 경우 OLE(Object Linking and Embedding)파일 기반 여러 개의 스토리지와 데이터 스트림으로 구성 2. OLE Based HWP Analysis 우선 버전을 확인하기 위해 시그니처를 살펴보면, 아래와 같이 5.0버전인 것을 알 수 있다. 이후 Oledump를 이용해 파일을 확인하고 png파일부터 OLE파일까지 모두 추출해줬다. 우선 추출된 파일들의 경우 한글 문서의 파일이므로 zlib을 통해 압축되어있을 것이다. 이를 decompress해줘야 정상적인 png파일의 시그니처도 살아날 것이다..

이전 1 다음

728x90

티스토리툴바