보안세상

OfficeMalScanner.exe 를 이용한 MS Office 파일의 악의적인 VBA 매크로 코드 추출법 본문

공부

OfficeMalScanner.exe 를 이용한 MS Office 파일의 악의적인 VBA 매크로 코드 추출법

똔민 2015. 7. 3. 18:46
반응형

 macro-spreadsheets.zip

 OfficeMalScanner.zip


참고 사이트 : 

http://digital-forensics.sans.org/blog/2009/11/23/extracting-vb-macros-from-malicious-documents



보통 수신된 메일에 첨부 파일 MS Office 파일을 클릭 시 악의적인 VBA 매크로 코드가 실행되어 백도어 및 봇에 감염되는 경우가 있음.

OfficeMalScanner.exe 파일을 이용하여 MS Office 파일의 악의적인 VBA 매크로 코드를 추출할 수 있음



( 1 ) OfficeMalScanner.exe

OfficeMalScanner.exe 는 Frank Boldewin 씨가 만들었으며 쉘 코드, PE 파일, 임베디드 된 OLE 스트림 같은 악성 흔적을 스캔, 덤프, 디스어셈블리할 수 있는 Office 제품 포렌식 툴임.

VMware 이미지 같은 안전한 환경에서 해당 제품을 이용할 것!


다운로드 :http://www.reconstructer.org/code.html

기본 형식 :

OfficeMalScanner <PPT, DOC or XLS file> <scan | info> <brute> <debug>

옵션 :

scan - 쉘 코드, 암호화된 PE 파일 스캔

info - OLE 구조와 오프셋+길이 덤프, VBA 매크로 코드 저장

inflate - MS Office 2007 문서를 임시 폴더에 압축 풀기 (ex. docx)

brute - 암호화된 요소 찾기

debug - HEX 디스어셈블리로 출력

예제 :

OfficeMalScanner evil.ppt scan brute debug

OfficeMalScanner evil.ppt scan

OfficeMalScanner evil.ppt info

Malicious index rating:

Executables: 20

Code : 10

STRINGS : 2

OLE : 1

( 2 ) 예제를 통한 OfficeMalScanner.exe 사용법

첨부 파일에 macro-spreadsheets.zip 로 올려놨으며 압축 해제 시 malware.xls 와 malware.xlsm 파일이 들어있음.

해당 악의적인 VBA 매크로 코드는 메모장 열기와 자신의 PC 에 ping 명령어를 실행하는 단순한 코드이며 압축 해제 암호는 infected 임.

둘다 악의적인 VBA 매크로 코드는 같으나 Office Open XML 파일인지 아닌지에 따라 사용법이 다름.

Office Open XML 파일 정보 사이트 :

http://office.microsoft.com/ko-kr/help/introduction-to-new-file-name-extensions-HA010006935.aspx

* Office Open XML 파일이 아닐 경우 (MS Office 2003 버전까지, malware.xls)


1. OfficeMalScanner.exe malware.xls info

2. OfficeMalScanner 폴더 안에 MALWARE.XLS-Macros 폴더가 생기며 ThisWorkbook 파일에 매크로 코드가 들어있음.

* Office Open XML 파일일 경우 (MS Office 2007 버전부터, malware.xlsm)

1. OfficeMalScanner.exe malware.xlsm inflate (bin 파일 이름 및 bin 파일 위치 검색)

2. bin 파일이 있는 폴더로 이동 후 해당 bin 파일을 복사하여 OfficeMalSanner 폴더로 붙여넣기

(Office Open XML 파일이 아닌 경우에는 VBA 매크로는 스트림 수를 포함하여 OLE 하위 컨테이너로 저장됨.

Office Open XML 파일에서의 VBA 매크로는 vbaProject.bin 이라는 부품 이름으로 정의된 매크로 컨테이너로 저장됨.

참고 사이트 : http://www.arstdesign.com/articles/office2007bin.html)

3. OfficeMalScanner.exe vbaProject.bin info

4. OfficeMalScanner 폴더 안에 VBAPROJECT.BIN-Macros 폴더가 생기며 ThisWorkbook 파일에 매크로 코드가 들어있음.


반응형
Comments