정보보안/Spear-Phishing
2023. 8. 31.
[Spear-Phishing] Malicious MS-Office Document Word VBA Macro Analysis
1. Word ms 오피스 워드파일을 분석해본다. 2. Triage and VBA Analysis 먼저 file 명령어를 통해 파일의 속성을 확인한다. CDF, ole 파일 형식을 사용하는 MS 워드 문서다. yara룰을 통해 대상파일을 분석해보자. -w옵션은 경고문구의 비활성화, -m은 yara룰 설명, 메타데이터 출력, -s옵션은 룰과 일치된 문자열 출력, -g 옵션은 yara룰 태그값 출력이다. vba 코드에 포함되는 문서와 대치되었다. 매크로가 실행되면 로컬 자원에 접근 가능하므로 악용할 수 있다. 따라서 매크로를 이상징후로 포함할 수 있다. oleid를 사용하여 재확인해보자. vba 매크로가 포함되었다고 나온다. 이제 olevba로 조사해보자. olevba는 난독화의 디코딩, 키워드탐지, 침해지..