[DOC Malware] DOC 문서 매크로 악성코드 분석

DOC 문서파일 실행 시 "파일의 내용을 보려면 매크로 기능을 활성화 해야한다" 라는 식으로 안내 문구들을 볼 수 있다.

(해당 샘플에서는 친절히 Office 버전별로 매크로 활성화 방법을 글로 적어놨다)

직접 실행해서 매크로 코드를 분석하는 것은 위험하므로 OLETools 스크립트 중 olevba.py 스크립트로 매크로 코드만 추출하자.

▼ 추출한 매크로 (VBScript) 코드 분석 (워낙 간단한 코드라 걍 주석 참고)

--------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------------------

fancifully 함수의 첫 줄에 있는 ActiveDocument.BuiltInDocumentProperties("Author") 코드는 해당 악성 doc 문서의 속성값들 중 만든 이 (Author) 필드에 존재하는 값을 참조하여 읽어온다.

--------------------------------------------------------------------------------------------------------------------------

맨 마지막의 Safeword 서브프로시저는 외부 서버에서 파일을 다운받아 실행한 후 문서 본문 내용을 정상적인 내용으로 변조시켜 아래 사진처럼 사용자를 속이는 역할을 한다.