[Malware analysis] 매크로를 이용한 워드 파일 Emotet Malware

[Malware analysis] 매크로를 이용한 워드 파일 Emotet Malware

참조 

- 5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중

> https://asec.ahnlab.com/1358

참조 블로그를 보게되면 5개월만에 돌아온 Emotet 악성코드가 유포중이라는 것을 확인할 수 있다.

과거 작성글 https://jeongzzang.com/97 에서 Emotet 악성코드를 분석해보았는데 과거 Emotet은 '--xxxxxxxx' 인자를 통해 악성행위 부분을 분석 가능했던 경험이 있다. 하지만 현재 유포되는 Emotet은 인자 값 없이 실행 가능하다고 알려져있다.

유포되는 여러 유형이 있는데 본 블로그에는 .doc 문서 형태를 분석했다.

(그림 1)을 살펴보면 해당 파일을 볼 수 있으며 콘텐츠 사용 탭을 확인할 수 있다.

(그림 1)

매크로를 살펴보면 (그림 2)와 같이 인코딩 된 매크로가 디코딩 되는 것을 확인할 수 있다. 계속 진행시 powershell을 이용하는 것을 확인할 수 있다.

(그림 2)

프로세스를 살펴보면 WMI(윈도우 관리 도구)를 이용하여 powershell 명령어를 실행하는 것을 확인할 수 있다.

(그림 3)

인코딩된 파워쉘 명령어를 base64 디코딩 시 (그림 4)와 같이 보여지는 것을 확인할 수 있다.

(그림 4)