[Report] 악성 매크로를 포함한 워드파일 분석

악성 매크로를 포함한 워드 문서

매크로 실행 이후 생성 파일

워드 파일 내 매크로를 실행함으로써 "procClearCopy.hta" 파일이 공용 폴더에 새롭게 생성되었다.

 

procClearCopy.hta 파일 IDA로 실행

문자열로 변환

 

파워쉘을 포함한 코드 일부

 

"procClearCopy.hta" 파일을 IDA를 활용하여 정적 분석한 결과 파워쉘을 포함한 악성코드를 발견하였다.

 

 

파워쉘 이벤트

 

파워쉘 이벤트를 확인한 결과  Script Block Logging (이벤트 4104) Permalink 이벤트를 확인하였다.
이벤트 4104는 Script Block을 로깅하는 이벤트이며 해당 이벤트를 통해 파워쉘에서 최소 실행 단위를 확인할 수 있다.

드롭퍼 감염 트래픽

vur8 - Trojan File

 

최종적으로 "vur8 " 파일을 요청하였다.

해당 파일을 포털 사이트를 통해 확인한 결과 Trojan 파일인 것을 확인할 수 있다.