Security/Reversing2 [Report] 악성 매크로를 포함한 워드파일 분석 워드 파일 내 매크로를 실행함으로써 "procClearCopy.hta" 파일이 공용 폴더에 새롭게 생성되었다. "procClearCopy.hta" 파일을 IDA를 활용하여 정적 분석한 결과 파워쉘을 포함한 악성코드를 발견하였다. 파워쉘 이벤트를 확인한 결과 Script Block Logging (이벤트 4104) Permalink 이벤트를 확인하였다. 이벤트 4104는 Script Block을 로깅하는 이벤트이며 해당 이벤트를 통해 파워쉘에서 최소 실행 단위를 확인할 수 있다. 최종적으로 "vur8 " 파일을 요청하였다. 해당 파일을 포털 사이트를 통해 확인한 결과 Trojan 파일인 것을 확인할 수 있다. 2021. 5. 21. [Report] 악성 매크로를 포함한 액셀파일 분석 사용자는 이메일에 첨부된 이메일을 열람 후 액셀 파일을 다운로드하였다. 액셀파일에는 드로퍼성 매크로를 포함하고 있다. 매크로가 실행되면 사용자의 PC는 CnC서버로부터 추가적인 파일을 요청한다. 매크로를 실행한 이후 사용자의 PC는 Presentation.dll 라이브러리 파일을 요청하였다. 해당 파일에서 MZ~PE 시그니처를 확인 할 수 있다. 바이러스 토탈 사이트로 해당 DLL파일을 확인한 결과 다수의 엔진들이 Trojan 파일로 확인하였다. IDA로 확인한 결과 FindFirstChangeNotificationW 윈도우 함수 확인이 가능하다. 해당 함수는 지정된 디렉터리 또는 하위 트리에서 필터 조건과 일치하는 변경의 발생 여부를 확인하는 함수이다 사용자가 열람한 메일에서부터 액셀파일을 다운로드 하.. 2021. 5. 16. 이전 1 다음
