정보보안/Spear-Phishing
2023. 8. 31.
[Spear-Phishing] Malicious MS-Office Document Exploit Analysis
1. Triage oleid를 사용해 이상징후 확인 외부링크를 통해 페이로드가 들어올 수 있다. HxD로 파일을 분석해보자. ZIp과 동일한 구조이므로 unzip할 수 있다. 2. cvc Analysis 압축을 푼 파일의 word파일 내부에 document.xml.rels파일을 살펴보자. 이부분이 앞서 본 external 부분이다. 하지만 이때 외부링크로부터 리소스를 가져오는 것을 볼 수 있다. MHTML은 MIME HTML로 이미지, 플래쉬 애니메이션 등을 담고 있다. 또한 로드될 때는 MSHTML로 로드되어 내부의 JavaScript가 실행된다. 이후 ActiveX가 실행되며 악성파일이 실행되고, calc.cab파일을 다운로드 받는 것으로 보인다. calc.cab를 실제로 다운로드 받으면 위와 같고 ..