이론
악성 MS Office 문서 분석 절차
1. 악성 MS Office 문서 파일 트리아지(분류)
- MS Office 파일 내에서 VBA 코드, DDE/DDEAUTO 명령어, 쉘 코드, OLE 객체 포함 여부를 확인
2. 악성 스크립트/명령어 확보
- 파일 내에 있는 VBA 코드 혹은 스크립트 위치를 파악하여 분석을 위해 추출
- 난독화 되어 있을 경우, 난독화를 해제하여 분석이 용이하도록 조치
3. 악성 개체 분석
- 시스템 상에 생성하거나 실행하는 파일, 추가로 다운로드 하는 파일, 악성코드 배포 서버의 도메인 등을 확인
- 코드 분석 과정에서 추가로 식별된 VBA 스크립트, PowerShell 스크립트, 실행 파일, 쉘 코드를 분석
- 악성코드 배포 서버로부터 다운로드 되는 데이터가 확보 가능할 경우, 추가로 분석
악성 MS Offcie 문서의 이상 징후
1. 쉘코드를 포함하고 있는 경우
- MS Office 프로그램의 취약점을 공격한 이후, 메모리 상에 쉘 코드를 매핑하여 실행하는 경우.
- 파일 내 쉘 코드의 머신 코드 일부가 패턴 매칭 되는 경우.
2. 매크로를 포함하고 있는 경우
- 매크로는 MS Office에서 제공하는 기본 기능으로, 업무 자동화를 위해 사용될 수 있으나, 악성 행위에도 활용
- 문서 내 매크로가 포함되어 있을 경우, CFBF 포맷에서는 Macros,_VBA_PROJECT_CUR 파일이 존재
- 문서 내 매크로가 포함되어 있을 경우, CFBF 포맷에서는 vbaProject.bin파일이 존재
3. DDE/DDEAUTO를 포함하고 있는 경우
- DDE는 Dynamic Data Exchange의 약자로, Windows의 응용프로그램 실시간 데이터 공유를 위한 기술로, 일련의 명령을 실행시킬 수 있다
- DDEAUTO 함수는 정보 동기화에 사용되지만, 시스템의 기본 명령어를 실행할 수도 있다
실습
ls file*
명령어로 파일 포맷들을 확인해보니 docx, docm, doc 등 다양하게 있다
일단 malicious-a1029767.docm 분석해보자
malicious-a1029767.docm은 zip파일로 압축된 OOXML이고 안쪽에 파일구조가 존재함
python C:\Tools\Oledump_V0_0_60\oledump.py malicious-a1029767.docm
매크로가 확인되므로 추가 분석이 필요해보임 → unzip으로 압축 해제→ 성공!
악성문서임을 알 수 있다!
다음은 malicious-ea677003.doc 문서를 분석해보자
oledump로 발견이 안된다 OOXML 파일이여서 그런듯
msodde.py malicious-hash값.docx+ msodde: ms office 문서에서 DDE링크를 추출해내는 툴이라고 한다
https://goo.gl~ 링크에서 파워쉘 스크립트를 다운받아 실행하는 악성도메인으로 보임
→ 이상징후가 있는 파일
'악성코드 분석' 카테고리의 다른 글
| PE파일의 악성 및 비정상 여부 식별 실습 (0) | 2025.03.05 |
|---|---|
| PE파일의 악성 및 비정상 여부 식별 방법 이론 (0) | 2025.03.04 |
| 맬웨어 식별 훈련 :: 오피스 문서의 포맷 실습 (0) | 2025.02.16 |
| 맬웨어 식별 훈련 :: 오피스 문서의 포맷 이론 (0) | 2025.02.15 |
| 맬웨어 식별 훈련 :: 악성파일의 구성요소 (0) | 2025.02.14 |