Studying •• 📝

IOCs MD5: 00E6F597354D69CDAD7EA5DEEB3C6857 SHA256: E1C09E045AF8B7301390CD9619E3CCA7A96D9D2BBA2B5FC3385A093F3D69B6B4 File name: 약력 양식.doc File type: DOC File size: 42,653bytes 악성코드 분석 DOC 문서 내부는 약력 양식처럼 위장 매크로 실행을 위한 '콘텐츠 사용' 관련 알림 창 ⇒ 문서 내부에 매크로가 존재 분석 방해를 위해 매크로 암호 설정 VBS 문서 실행 시 바로 실행되는 Document_Open 함수 난독화한 문자열을 Left, Replace 함수를 통해 복호화하여 사용 Powershell script #1 복호화된 문자열은 파워쉘 스크립트 외부 URL에 접속하..

IOCs MD5: BCC12E4C20895DFC52160013AECF76C0 SHA256: 5B81F8F1208D2DFCCB4DD6946102B61AD8F220C7B1C0A80F7BE3CA23E6E59B3E File name: 질문지.doc File type: DOC File size: 84,480bytes 악성코드 분석 DOC 문서 내부는 북한 관련 내용 매크로 실행을 위한 '콘텐츠 사용' 관련 알림 창 ⇒ 문서 내부에 매크로가 존재 VBS #1 가장 먼저 실행되는 Document_Open 함수 조건(실행되고 있는 파일 이름, VBS 이름)에 부합하면 분할된 데이터를 조합 조합된 데이터는 BASE64 인코딩 데이터 내부 복호 함수를 이용하여 데이터를 디코딩 디코딩된 데이터는 또 다른 VBS 악성코드는 ..