시작하며
우연히, 구독자분의 요청으로 RTF악성코드 분석을 시작했습니다.
바이러스 토탈의 처음 분석결과 CVE취약점을 발견했지만, 제가 직접 분석한 결과 해당 취약점이 아니였습니다. 오탐이었죠... 우여곡절 끝에 분석을 거의 끝냈고 그 결과를 유투브 영상에 공개했습니다. 그리고, 이 글에서는 유투브 링크를 남깁니다.
영상을 보면 어떤 도움이 될까 생각봤습니다.
1. 스택오버플로우가 어떻게 실제공격에 사용되는지 궁금하시는 분
2. 데이터 분석관점에서 어떻게 악성코드 행위를 분석하는지 궁금하신 분
3. 분석한 악성코드를 탐지하기 위한 야라룰 생성이 궁금하신 분
4. ATT&CK Matrix에 악성코드를 어떻게 대입하는지 궁금하시는 분
악성행위 요약
분석결과, 크게 3가지 악성행위를 하는 것으로 생각합니다.
① 수식편집기 취약점(CVE-2018-0798)을 이용하여 쉘코드 실행
② 쉘코드는 MS office 애드온을 가장한 dll파일 생성 및 실행
③ 애드온은 바이소날 악성코드를 생성 및 실행
악성코드 분석 영상(유투브) 링크
1편에서는 RTF문서 개념 설명, 정적분석, 행위분석을 합니다.
영상 링크: https://youtu.be/N5cGr65zYNE
2편에서는 sysmon으로 RTF문서 행위분석을 합니다.
영상 링크: https://youtu.be/Vv8nsG5q-Vs
sysmon+ELK 설치 영상 링크: https://youtu.be/4x054MeYS14
3편에서는 취약점(CVE-2018-0798)에서 사용한 스택오버플로우 발견, DLL파일 분석을 합니다.
영상 링크: https://youtu.be/vuKtlHaicK0
마지막, 4편에서는 분석 정리 및 공격자(APT 그룹)가 누구인지 추측, 악성코드 탐지를 위한 야라룰 생성, 악성코드 삭제, ATT&CK Matrix대입 실습을 진행합니다.
영상 링크: https://youtu.be/mYoVR-g4RdY
마치며
RTF악성코드의 최종 목적인 ahnlab.exe 악성코드의 분석은 아직 진행하지 않았습니다. 바이소날 악성코드라는 것만 알고 있습니다.
나중에 시간이 된다면, 분석 및 공유해보도록 하겠습니다.
'전공영역 공부 기록' 카테고리의 다른 글
| 헤븐즈게이트를 사용하는 악성코드 (0) | 2020.03.02 |
|---|---|
| 악성코드 탐색기를 설치해보자 (0) | 2020.02.15 |
| 칼리리눅스 2019.4 한글 설치 (0) | 2020.01.08 |
| 도커로 ELK설치 및 sysmon 연동 (0) | 2020.01.08 |
| vba매크로 악성코드 분석을 막기(안티 리버싱) (0) | 2020.01.01 |