일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- Universal ShellCode
- 파이썬
- TCP Socket
- Hover Action
- c# 프로그램 종료
- 한글 악성코드
- Mouse Over
- vbscript
- TCP Server/Client
- FTP Server/Client
- c# 외부 프로그램 실행
- UDP Server/Client
- anti vm
- c# 파일명 변경
- 파이썬 외부프로그램 실행
- pdf 악성코드
- PPT Malware
- c# xml 파싱
- Python LoadLibrary
- VMware
- 악성코드
- 최순실 악성코드
- c# 파일 읽기쓰기
- Python Win32 API
- hex2bin
- PowerShell
- c# 디렉토리 파일 조회
- c# 파일 IO
- Python GetProcAddress
- 파워쉘
- Today
- Total
그냥저냥
[DOC Malware] DOC 문서 매크로 악성코드 분석 본문
DOC 문서파일 실행 시 "파일의 내용을 보려면 매크로 기능을 활성화 해야한다" 라는 식으로 안내 문구들을 볼 수 있다.
(해당 샘플에서는 친절히 Office 버전별로 매크로 활성화 방법을 글로 적어놨다)
직접 실행해서 매크로 코드를 분석하는 것은 위험하므로 OLETools 스크립트 중 olevba.py 스크립트로 매크로 코드만 추출하자.
▼ 추출한 매크로 (VBScript) 코드 분석 (워낙 간단한 코드라 걍 주석 참고)
--------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------
fancifully 함수의 첫 줄에 있는 ActiveDocument.BuiltInDocumentProperties("Author") 코드는 해당 악성 doc 문서의 속성값들 중 만든 이 (Author) 필드에 존재하는 값을 참조하여 읽어온다.
--------------------------------------------------------------------------------------------------------------------------
맨 마지막의 Safeword 서브프로시저는 외부 서버에서 파일을 다운받아 실행한 후 문서 본문 내용을 정상적인 내용으로 변조시켜 아래 사진처럼 사용자를 속이는 역할을 한다.
'Malware' 카테고리의 다른 글
[PPT Malware] Hover Action 기능 악용 악성코드 (0) | 2017.06.24 |
---|---|
[HWP Malware] EPS Buffer Overflow를 이용한 악성한글문서 분석 (1) | 2016.11.12 |
[PE Malware] Powerlik 악성코드 분석 (0) | 2016.08.14 |
[PDF Malware] PDF 악성코드 분석 (Obfuscated JavaScript + ShellCode) (0) | 2016.08.12 |
[PDF Malware] PDF 악성코드 분석 (JavaScript + EmbededFile) (0) | 2016.08.10 |