[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드

[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드

참조

> https://www.virustotal.com/gui/file/a7e8c4d24e013f48bed29fb9a5f0d80c60be249862213e142c7feb47f07ac39e/detection

메일에 포함된 문서를 열면, 숨겨진 exploit 코드가 악성파일 다운로드가 가능한 원격서버에 연결되는 것을 확인할 수 있다.

아래 그림와 같이 접속을 시도하는 것을 확인할 수 있으며, 팝업창은 보면 사용자 본인의 계정을 기입하도록 유도하는 것을 확인할 수 있다.

하지만 자세히 보면 해당 원격서버로 접속을 하는 것을 확인할 수 있다.

아래 그림와 같이 get 메소드를 이용해 다운로드하는 것을 확인할 수 있다. 해당 .doc 파일은 위 사용자 계정 입력을 유도하는 팝업창으로 .xlsx파일을 열게 되면 .doc 파일을 다운로드하여 계정 유도 팝업창을 띄우는 것을 확인할 수 있다.(사진에서는 직접 다운로드 해봄)

이후 위와 같이 사용자 계정을 입력하게 되면 Head 메소드를 통하여 다시 전송하는 것을 확인할 수 있다.

원격 서버에서 vbc.exe 파일을 다운로드하는 것을 확인할 수 있으며, 해당 공용 계정 폴더에 먼저 다운로드 되는 것을 확인할 수 있다.

이후 vbc.exe 파일은 자가 삭제되면서 %appdata% 경로에 아래와 같은 폴더에 같은 파일을 만드는 것을 확인할 수 있다.

이후 패킷 확인 시 regasm.exe 파일 역시 동일한 해시를 가지고 있는 것을 확인할 수 있다.

이러한 방식이 있다는 것을 확인할 수 있었다.

해당 .exe 파일(참조 사이트) 닷넷으로 만들어진 악성파일로 추후 분석하여 올리도록 하겠다.