보통 수신된 메일에 첨부 파일 MS Office 파일을 클릭 시 악의적인 VBA 매크로 코드가 실행되어 백도어 및 봇에 감염되는 경우가 있음.
OfficeMalScanner.exe 파일을 이용하여 MS Office 파일의 악의적인 VBA 매크로 코드를 추출할 수 있음.
( 1 ) OfficeMalScanner.exe
OfficeMalScanner.exe 는 Frank Boldewin 씨가 만들었으며 쉘 코드, PE 파일, 임베디드 된 OLE 스트림 같은 악성 흔적을 스캔, 덤프, 디스어셈블리할 수 있는 Office 제품 포렌식 툴임.
VMware 이미지 같은 안전한 환경에서 해당 제품을 이용할 것!
아래 명령어 번역은 0.62 버전에서 확인함.
OfficeMalScanner 툴 다운로드 :
http://www.reconstructer.org/code.html
기본 형식 :
OfficeMalScanner <PPT, DOC or XLS file> <scan | info> <brute> <debug>
옵션 :
scan - 다수 휴리스틱(heuristics) 쉘코드 및 암호화된 PE 파일 스캔
info - OLE 구조, 오프셋+길이 덤프 그리고 VB 매크로 코드 저장
inflate - Ms Office 2007 문서를 임시 폴더에 압축 풀기 (ex. docx)
Switches : scan 옵션을 선택한 경우에만 활성화됨
brute - 무차별 대입 모드(brute force mode)를 활성화하여 암호화된 항목을 찾음
debug - 휴리스틱(heuristic)을 찾으면 HEX 디스어셈블리로 출력
예제 :
OfficeMalScanner evil.ppt scan brute debug
OfficeMalScanner evil.ppt scan
OfficeMalScanner evil.ppt info
악의적인 표시 등급(Malicious index rating) :
Executables: 20
Code : 10
STRINGS : 2
OLE : 1
( 2 ) 예제를 통한 OfficeMalScanner.exe 사용법
샘플 다운로드 링크(암호 : koromoon1004) :
https://drive.google.com/file/d/1lHundhzu1jmd1za8UJItH6iJcovcAuXv/view?usp=sharing
위 첨부 파일에 macro-spreadsheets.zip 로 올려놨으며 압축 해제 시 malware.xls 와 malware.xlsm 파일이 들어있음.
해당 악의적인 VBA 매크로 코드는 메모장 열기와 자신의 PC 에 ping 명령어를 실행하는 단순한 코드이며 둘다 악의적인 VBA 매크로 코드는 같으나 Office Open XML 파일인지 아닌지에 따라 사용법이 다름.
Office Open XML 파일 정보 사이트 :
http://office.microsoft.com/ko-kr/help/introduction-to-new-file-name-extensions-HA010006935.aspx
* Office Open XML 파일이 아닐 경우 (MS Office 2003 버전까지, malware.xls)
1. OfficeMalScanner.exe malware.xls info
2. OfficeMalScanner 폴더 안에 MALWARE.XLS-Macros 폴더가 생기며 ThisWorkbook 파일에 매크로 코드가 들어있음.
* Office Open XML 파일일 경우 (MS Office 2007 버전부터, malware.xlsm)
1. OfficeMalScanner.exe malware.xlsm inflate (bin 파일 이름 및 bin 파일 위치 검색)
2. bin 파일이 있는 폴더로 이동 후 해당 bin 파일을 복사하여 OfficeMalSanner 폴더로 붙여넣기
Office Open XML 파일이 아닌 경우에는 VBA 매크로는 스트림 수를 포함하여 OLE 하위 컨테이너로 저장됨.
Office Open XML 파일에서의 VBA 매크로는 vbaProject.bin 이라는 부품 이름으로 정의된 매크로 컨테이너로 저장됨.
매크로 컨테이너 정보 사이트 :
http://www.arstdesign.com/articles/office2007bin.html
3. OfficeMalScanner.exe vbaProject.bin info
4. OfficeMalScanner 폴더 안에 VBAPROJECT.BIN-Macros 폴더가 생기며 ThisWorkbook 파일에 매크로 코드가 들어있음.
참고 사이트 :
http://digital-forensics.sans.org/blog/2009/11/23/extracting-vb-macros-from-malicious-documents
============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.
댓글 없음:
댓글 쓰기