Malware Analysis (14) 썸네일형 리스트형 VBA 스톰핑(VBA Stomping) 개요 VBA를 사용한 문서형 악성코드를 분석하는 중이다. 소스코드를 추출하여 난독화된 코드를 읽어보는데 선언되지도 않은 변수를 사용하는 코드가 존재했다. 오브젝트를 로드하는데 오브젝트의 이름이 정확하지도 않다. (한 글자씩 빼먹었다.) 정적 분석을 진행하면서 말도 안되는 코드를 읽으며 "추출한 소스 코드가 진짜 제대로 동작할까" 이런 생각을 했고 다른 도구도 써봐야겠다는 생각에, olevba.py를 사용하여 해당 악성코드에 대한 정보를 얻어냈고 VBA Stomping을 사용했을 가능성이 있다고 결과가 나와서 VBA Stomping에 대해서 공부하게 되었다. VBA Stomping이 뭘까? 우리가 문서를 만들고 VBA 매크로를 삽입을 했을 때 해당 매크로는 문서 내에 여러 형태로 저장된다. VBA 에디터를.. Windows 10 Home에서 어떻게 Windows defender의 실시간 보호 기능을 영구적으로 비활성화할 수 있을까? 악성코드를 분석하는데, 분명 실시간 보호를 꺼놨던 Windows Defender가 갑자기 마술처럼 되살아나서 악성코드를 탐지하고 마음대로 삭제했다. Windows 10에서 어떻게 영구적으로 실시간 보호 기능을 비활성화시킬 수 있을까? (현재 Windows 10 Home을 사용 중이다.) 일단 실시간 보호를 비활성화 시킨다. 변조 보호도 비활성화 시킨다. 레지스트리에 키를 추가한다. (경로 : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\) (키 이름 : DisableRealtimeMonitoring) (키 값 : 0x1) 실시간 보호 위에 "이 설정은 관리자가 관리합니다"라는 문구가 표시되는지 확인.. SecondSample.vir(가칭) 분석 개요 파일 정보 파일 이름 : SecondSample.vir(가칭) 파일 유형 : 리치 텍스트 포맷(*.rtf) 파일 크기 : 366KB(375,322 Bytes) 파일 해시 : 비공개 악성 행위 : CVE-2017-11882 사용, 파일 다운로드(URL 만료), 파일 실행 흐름도 악성코드가 실행될 때 어떤 과정을 거쳐서 어떤 행위를 하는지 표현해봤다. 특징 [*] SecondSample.vir 해당 파일을 열면 CVE-2017-11882 취약점이 발동하며 쉘코드가 실행된다. 1단계 쉘코드는 XOR Encrypt된 2단계 쉘코드를 복호화하는 작업을 진행한다. 2단계 쉘코드는 특정 URL에 접속하여 파일을 다운로드 받고 실행한다. [*] ugopx6413.exe SecondSample.vir에 의해 로컬 .. FirstSample.vir(가칭) 분석 개요 파일 정보 파일 이름 : FirstSample.vir (가칭) 파일 유형 : MS Office Word 문서(*.docm) 파일 크기 : 4.02MB (4,219,783 bytes) 파일 해시(MD5) : 비공개 악성 행위 : 파일 다운로드(현재 C2 서버 폐쇄), 파일 실행 특징 [*] FirstSample.vir 문서 파일을 열면 자동으로 vba로 작성된 악성코드가 실행된다. vba 코드에 하드코딩되어 있는 주소로 또 다른 poweshell script를 다운로드 받는다. 다운로드 받은 powershell script를 실행시킨다. 분석 정적 분석 Detect It Easy로 확인한 결과, FirstSample.vir는 MS Office Word 문서이다. Bandizip을 통해서 파일의 구조와.. 이전 1 2 다음
