티스토리 뷰
[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드
정뚱띵 2020. 11. 3. 17:35[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드
참조
메일에 포함된 문서를 열면, 숨겨진 exploit 코드가 악성파일 다운로드가 가능한 원격서버에 연결되는 것을 확인할 수 있다.
아래 그림와 같이 접속을 시도하는 것을 확인할 수 있으며, 팝업창은 보면 사용자 본인의 계정을 기입하도록 유도하는 것을 확인할 수 있다.
하지만 자세히 보면 해당 원격서버로 접속을 하는 것을 확인할 수 있다.
아래 그림와 같이 get 메소드를 이용해 다운로드하는 것을 확인할 수 있다. 해당 .doc 파일은 위 사용자 계정 입력을 유도하는 팝업창으로 .xlsx파일을 열게 되면 .doc 파일을 다운로드하여 계정 유도 팝업창을 띄우는 것을 확인할 수 있다.(사진에서는 직접 다운로드 해봄)
이후 위와 같이 사용자 계정을 입력하게 되면 Head 메소드를 통하여 다시 전송하는 것을 확인할 수 있다.
원격 서버에서 vbc.exe 파일을 다운로드하는 것을 확인할 수 있으며, 해당 공용 계정 폴더에 먼저 다운로드 되는 것을 확인할 수 있다.
이후 vbc.exe 파일은 자가 삭제되면서 %appdata% 경로에 아래와 같은 폴더에 같은 파일을 만드는 것을 확인할 수 있다.
이후 패킷 확인 시 regasm.exe 파일 역시 동일한 해시를 가지고 있는 것을 확인할 수 있다.
이러한 방식이 있다는 것을 확인할 수 있었다.
해당 .exe 파일(참조 사이트) 닷넷으로 만들어진 악성파일로 추후 분석하여 올리도록 하겠다.
'Reversing > Malware analysis' 카테고리의 다른 글
[Malware analysis] 미국 대선 예측 HWP 문서로 위장한 악성코드 (2) | 2020.11.04 |
---|---|
[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드 (0) | 2020.11.04 |
[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드 (0) | 2020.11.03 |
[Malware analysis] Visual Basic 악성코드 (0) | 2020.10.28 |
[Malware analysis] 암호 걸린 첨부 파일을 이용한 Emotet (0) | 2020.10.27 |
- Total
- Today