Office 악성파일 탐지

악성코드를 분석하기 위해서 보통 초기 분석 후 심도있게 들어가는 방식으로 분석을 하는데, Office 파일은 정상, 비정상 여부를 판별하여 악성파일을 구분하고 심도있는 분석은 분석가에게 맡기는 방식으로 업무를 하는것이 효과적이라고 한다.

악성코드 분석 단계(*분석 단계를 분류하는 방식은 다양하므로 이런것도 있다고 이해하고 넘어가자*)
1) Triage
2) 이미 감염된 경우 악성코드가 남기는 아티팩트 이해 및 조사
3) 악성코드 파일의 특성 분석
4) 저장된 네트워크 패킷을 통한 상관분석(통계학적인 분석)

- TriAge : 초기 검사, 파일의 특성을 검사하여 악성파일인지, 아닌지 구분하는 과정이다.
- 오피스 악성코드의 주요 분석 포인트는 다음과 같다.
1) 매크로가 포함되어 있는가?
2) 실행 가능한 코드가 있는가?

- 툴을 사용해서 초기분석을 수행하게되는데, 주의할점은 툴의 한계에 대해서 명확히 이해하고 분석에 사용하여야 한다는 점이다.
*XML 타입은 압축을 풀어서 나온 bin파일 혹은 bin파일을 다시 압축 풀어서 나온 파일 들에 scdbg를 이용하여 쉘코드가 있는지 확인하는 방식으로 분석한다.

1) OfficeMalwareScan
오피스 파일(OLE 파일 포맷)을 분석하고 결과를 보여주는 툴로 32bit 환경에서만 사용할 수 있는 제약을 가지고 있다.
워드, 파워포인트, 엑셀, 한글의 경우는 분석이 가능함
[탐지방법]
- 쉘코드에서 사용하는 시작주소를 탐지(55 8B EC 와 같은 시작 기계어코드)
- 위험한 API 이름 탐지
- kernel32.dll의 베이스 주소를 찾기위한코드를 탐지(동적바인딩에 사용하는 코드)

[사용방법]
cmd>officemalwarescan.exe [파일명] [info or scan]

2) scdbg
쉘코드를 찾아낼 수 있는 기능을 가진 툴

[탐지방법]
- 자체적으로 가상으로 돌려보면서 분석 후 위험성이 있는 쉘코드 부분을 프린트한다.

[사용방법]
cmd>scdbg.exe /findsc /f [파일명]
밝은색일 수록 위험하다는 의미이며 경우에 따라 위험한 API, API Parameter 등 추출가능
[한글파일 혹은 pdf 파일로 했을 경우 아래와 같으며 이것들은 다른 작업이 더 필요한 관계로 직접적으로는 분석이 불가능함]

... ing ...