메뉴 건너뛰기

Hello :0

1. 개요

오늘 분석할 파일은 문서 파일안의 Macro 기반 바이러스이다.

 

2. G-A0288010040780590521.docm 분석

1.png

2.png

파일은 전형적인 워드아이콘이다.

 

3.png

악성코드를 실행하면 내용이 없는 워드 파일안에 보안 경고가 발생한다. 워드 파일의 매크로 기능을 히용한 악성코드 임을 유추 할 수 있다.

 

4.png

매크로 메뉴를 확인 해보면 autoopen이라는 매크로가 존재 함을 확인 할 수 있다. 해당 매크로는 아래에서 살펴 보도록 하겠다.

 

5.png

Processexprorer을 이용하여 매크로가 실행되면 cheetos.exe라는 자식 프로세스가 생성된다.

 

6.png

7.png

tcpview와 procmon을 사용하여 네트워크 사용여부를 확인 해본다. 그중 persol130-g5.free.fr과의 통신이 의심스럽다.

 

8.png

212.27.63.130 IP와의 통신을 확인해보기 위하여 Wireshark를 이용해 패킷덤프를 해본다.

 

9.png

MZ 시그니쳐로 시작하는 파일을 다운 받는 것을 확인 할 수 있다.

 

10.png

procmon으로 파일 관련 activity를 확인하면, "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\3J7KPRD0\0uh634[1].txt" 파일이 생성된다.

 

11.png

texteditor로 확인해보면 실행 파일임을 확인 가능.

 

12.png

임시로 저장한 파일을 다시 C:\Documents and Settings\Administrator\Local Settings\Temp 경로에 저장 한다.

 

13.png

cheetos.exe 파일 확인. 해당 파일의 행위는 통신이 불가능해 확인 하지 못하였다.

 

3. vbs 스크립트 분석

 

14.png

Sub autoopen() 부터 악성코드가 실행된다.

 

15.png

16.png

디버깅을 한줄씩 해나가다 보면 Module4에서 악성코드 주요 변수 들이 설정됨을 알 수 있다.

 

17.png

ShowSnow_0_13 = Split(UserForm1.Label1.Caption, "Sy")에서는 label의 Caption을 변수로 사용하고 있음을 화인 할 수 있다. Sy로 문자열을 나누어서 배열 형태로 저장 한다.

 

18.png

여기서 악성코드의 이름인 cheetos를 포함한 매써드로 보이는 GET WScript.Shell과 같은 중요한 문자열이 보인다.

 

ShowSnow_7 = Split("728102481210248121024784102440610243291024329102474910247351024770102470710246931024756102473510246931024749102432210247141024798102470710247071024322102471410247981024329102433610248191024728102437810243571024364", _

"1024")

마찬가지로 “1024”로 문자열을 나누어 저장 한 것을 확인 할 수 있다.

 

19.png

ShowSnow_7에 3자리의 숫자씩 나누어서 저장되는 것을 볼 수 있다.

 

20.png

해당 코드는 ShowSnow_7의 숫자를 문자열 형태로 만들어 준다. 예를들어 ShowSnow_7(0)의 “728”을 7로 나눈 후 이것을 Chr함수로 문자로 바꾸어주면 “h”가 된다 해당 구문을 실행하면 ShowSnow3_1에 http://kineclick.free.fr/0uh634 가 저장된다.

 

21.png

 

파일을 다운로드 받는 URL

 

22.png

Send로 파일을 다운로드 하고 ShowSnow_4의 responseBody에는 파일의 코드가 들어온다.

 

23.png

77(0x4D), 90(0x5A), 144(0x90)와 같이 MZ0.......의 형태와 같다.

 

24.png

25.png

ShowSnow_5에는 파일이 저장될 위기가 보인다.

 

26.png

C:\Documents and Settings\Administrator\Local Settings\Temp\cheetos.exe 파일 저장 후 실행하는 코드.

 

27.png

cheetos생성 확인

 

28.png

ShowSnow_6.Open(ShowSnow_5)가 실행되면서 프로그램이 실행된다.