사용자는 이메일에 첨부된 이메일을 열람 후 액셀 파일을 다운로드하였다. 액셀파일에는 드로퍼성 매크로를 포함하고 있다.
매크로가 실행되면 사용자의 PC는 CnC서버로부터 추가적인 파일을 요청한다.
매크로를 실행한 이후 사용자의 PC는 Presentation.dll 라이브러리 파일을 요청하였다.
해당 파일에서 MZ~PE 시그니처를 확인 할 수 있다.
바이러스 토탈 사이트로 해당 DLL파일을 확인한 결과 다수의 엔진들이 Trojan 파일로 확인하였다.
IDA로 확인한 결과 FindFirstChangeNotificationW 윈도우 함수 확인이 가능하다.
해당 함수는 지정된 디렉터리 또는 하위 트리에서 필터 조건과 일치하는 변경의 발생 여부를 확인하는 함수이다
사용자가 열람한 메일에서부터 액셀파일을 다운로드 하였으며 액셀파일 내 매크로를 실행함으로써 CnC 서버로부터 추가적인 파일 다운로드가 이루어졌다. DLL 파일은 사용자의 디렉터리에 새로운 파일들을 생성하였으며 디렉터리에서 확인할 수 있다.
'Security > Reversing' 카테고리의 다른 글
| [Report] 악성 매크로를 포함한 워드파일 분석 (0) | 2021.05.21 |
|---|
댓글