다음 카페 첨부 파일 다운로드

추출된 코드는 다른 기술을 사용하여 난독 처리되지만 코드를 분석하면 결정된 도메인에서 HTTP를 사용하여 데이터 파일을 다운로드하는 감염의 다음 단계를 찾을 수 있습니다. 이 경우 복원력 문제에 는 세 가지 다른 도메인의 배열이 사용됩니다: 문서가 로드되면 실행될 명령과 매개 변수를 저장하기 위해 배열이 정의됩니다. 개체 12의 자바 스크립트 코드의 세부 사항 : 이 명령은 외부 파일에 참조 된 객체를 추출하는 “exportDataObject”[1], 즉 “개체 2″이며 “444AXGJNEOJ468.docm”로 명명됩니다. 우리는 peepdf와 함께이 명령 추출 포함 된 문서를 사용: 우리가 다른 도메인의 다음 목록을 얻은 파일의 나머지 부분에 동일한 분석을 수행: 이 악성 코드의 또 다른 특성은 다른 개체로 채워진 사용자 양식의 사용 속성은 스크립트 실행시 변수로 사용됩니다: 문서에는 Javascript 콘텐츠(개체 4 및 개체 12)가 있는 두 개의 개체가 있어 문서가 페이로드를 전달할 수 있습니다. 개체 4의 자바 스크립트 코드의 세부 사항 : 악의적 인 OLE 문서에이 경우와 같이 문서 내부에 포함 된 VBA 매크로가 포함되어 있는 것이 일반적입니다: LibreOffice에서 특별히 사용되는 개체에 대한 참조의 사용은 현저하며 존재하지 않습니다. 단어 문서 : 코드에 정의 된 기능과 절차를 보면서 우리는 스크립트가 실행 될 때 무엇을 첫 인상을 가질 수 있습니다 : 덤프 스트림은 gzip 형식을 사용하여 압축, 파일을 수축, gzip 매직 번호 및 압축을 준비 gzip으로 압축 을 풀기 전에 방법: OLE 스트림의 ID 옆에 M을 표시하는 줄은 단순히 특성을 정의하는 것 이외에 일부 작업을 수행하는 VBA 매크로 코드가 포함되어 있음을 나타냅니다. 그것은 복잡한 코드를 가지고, 파일의이 종류에서 평소하지, 코드의 몇 가지 간단한 줄이, 대부분의 시간 난독 화, 그냥 실행 파일을 다운로드. 추가 분석을 위해 우리는 우리가 olevba를 사용하는 것을 위해 문서 파일에서 VBA 매크로 코드를 포함하는 OLE 스트림을 추출 할 수 있습니다 : 더 많은 이메일이 동일한 주제로 수신되었지만 다른 파일이 첨부되었습니다. 이 이메일에 첨부 된 파일은 아마도 캠페인과 그들이 보낸 날과 관련된 파일 이름이있는 PDF 파일입니다 : 우리는 파일 이름에서 볼 수 있듯이, 그들은이 규칙을 따르는 것 같습니다 : 일단 악성 코드가 특정 확장명과 이름을 가진 파일을 암호화 실행 그들은 .wlu에서 끝납니다. 당신은 또한 모든 데이터를 복구하기 위해 몸값 지불을 요청 아래이 이미지를 찾을 수 있습니다. 우리가 peepdf를 사용하는 PDF 파일의 분석을 수행하려면, 우리가 표시된 정보에서 파악 할 수있는 첫 번째 것은 JS 코드와 아마 포함 된 파일이 있다는 것입니다 : [1] exportDataObject : 외부 파일에 지정된 데이터 개체를 추출합니다.