문서 파일내 DDE 기능을 활용한 악성코드
- 보안 정보/악성코드 분석보고서
- 2017. 11. 13. 14:47
malwares.com 코드분석팀 분석 자료
<부제 : DDE 이건 또 뭐냐 >
1. 개요
[ 그림 1. SSView를 이용한 WordDocument Stream 추출 ]
추출된 WordDocument Stream을 Hex Editor로 확인해 보면 다음과 같이 "DDEAUTO"로 시작하는 스크립트를 확인할 수 있다.
[ 그림 2. WordDocument Stream에서 확인된 DDE 스크립트 ]
[ 그림 3. FIB 구조체 일부 (참조 : MS-DOC.pdf) ]
FIB 구조체는 다음과 같이 구성된다.
[ 그림 4. FIB 전체 구조 ]
해당 구조체를 조건에 맞춰 분석을 수행하고, 이 중 DDE와 관련된 구조체 멤버를 식별해 관련 정보 분석을 수행한다.
- Main Document
- Header
- Footnote
- Comment
- EndNote
- TextBox
해당 샘플의 경우 멤버별 세부 정보를 분석하면 다음과 같은 결과를 확인할 수 있다.
[ 그림 5. DDE를 참조하는 구조체 정보 ]
[ 그림 6. DDE 정보를 저장하고 있는 Clx 구조체 ]
[ 그림 8. Clx를 통해 추출된 DDE 스크립트 ]
DDE 와 DDEAUTO는 다음과 같은 방식으로 실행된다.
[ 그림 9-1. DDE 스크립트 실행 방법 ]
[ 그림 9-2. DDEAUTO 스크립트 실행 방법 ]
따라서 해당 코드는 mshta.exe를 통해 외부 서버내 파일을 실행하는 형태이다.
3. IoC
해쉬 | BD61559C7DCAE0EDEF672EA922EA5CF15496D18CC8C1CBEBEE9533295C2D2EA9 |
파일크기 | 22,016 Bytes |
유입파일명 | DanePrzesylki17016.doc |
태그 | #doc, #exploit, #cve-2017-0199, #interested_strings_url, #attachment, #trojan, #downloader, #agent |
주요동작 | DDE |
초기감염방법 | 이메일 첨부 파일, 다운로드 |
재실행방법 | X |
네트워크연결 | hxxp://w-szczecin.pl/img2/NEW15_10.doc/index.hta |
'보안 정보 > 악성코드 분석보고서' 카테고리의 다른 글
대한민국을 노린 모바일 악성코드, 로밍 맨티스 캠페인! (0) | 2018.08.22 |
---|---|
문서 파일내 DDE 기능을 활용한 악성코드 (0) | 2017.11.13 |
많은 서버에서 유포되는 백도어 NetSyst96.dll (0) | 2017.11.02 |
봇넷 관련 악성코드 (systemsv08.exe) (0) | 2016.09.22 |
랜섬웨어 복구 프로그램 종류와 원리 (1) | 2016.05.02 |
[상세보고서] 우크라이나 정전사태 관련 악성코드 (update. 2016.03.25) (4) | 2016.02.16 |
이 글을 공유하기