728x90
반응형
○ 한글문서를 실행하면 아래 그림과 같은 그림파일의 포스터 4장이 존재한다. 포스터 뒤에는 실행링크(1.lnk, 2.lnk, 3.lnk)가 포함되어 있는 것이 확인된다.
○ 사용자가 문서 내 그림을 클릭하면 링크파일이 실행되며 아래 그림과 같이 ‘bongpenn1.myartsonline.com’ C2서버와 통신하는 것이 확인된다. ‘1.exe’를 이용하여 C2서버의 ‘h.php’ 소스코드를 실행하며 ‘h.php’ 소스코드를 확인한 결과, 작업스케줄러에 'update.ini', 'OndDrive.exe' 파일이 30분마다 자동실행되도록 등록하고 최근 실행파일, 작업스케줄러 목록, 프로그램 목록 등을 C2서버로 전송하는 소스코드를 확인하였다.
한글문서 내에서 악성행위를 하는 OLE 개체를 확인한 결과, 아래 [그림 7]과 같이 ‘BIN0002.OLE’ 스트림 내부에 ‘1.exe’ 파일명으로 지정된 실행파일이 포함되어 있으며 한글문서를 마지막 수정한 계정이 ‘kisa’인 것이 확인된다.
반응형
'악성코드' 카테고리의 다른 글
| 엑셀, 워드 매크로 비밀번호 풀기(VBA 암호풀기) (0) | 2022.11.15 |
|---|---|
| 매크로에 비밀번호가 있는 경우 매크로 추출하는 방법(VBA 추출) (0) | 2022.10.15 |
| 악성코드가 포함된 워드문서(doc) 분석 2 (2) | 2022.10.07 |
| 악성코드가 포함된 워드문서(doc) 분석 (0) | 2022.10.03 |
댓글