목적 - 오픈소스 이용한 문서형 악성코드 탐지 솔루션을 제작하려고함. 180개 악성 word문서파일을 수집하였고 이중 40개 파일이 악성파일로 수집했지만 기존 소스코드에서 탐지하지 못하였다. 악성으로 수집하였지만 백신에서 탐지하지 못한 파일을 virustotal에 넣고 확인해본결과 62개 백신중 31개백신에서 악성코드로 탐지되었음. 탐지하지못한 샘플에 대해 분석을하여 탐지 필터링 로직을 업데이트하여 적용하고 미탐을 줄일수 있는 방법에 대해 연구해 봐야겠음.

케이쉴드 교육과정을 진행하면서 프로젝트를 진행하는데 우리조는 문서형 악성코드를 탐지하는 솔루션을 주제로 프로젝트를 진행중이다. 프로젝트기간이 짧고 수업과 병행하기떄문에 기업에서 나오는 솔루션만큼 못하지만 보안사고대응과정 수업을 받고 직접 솔루션을 만들어봄으로써 배운것에대한 이해를바탕으로 응용을 한다는 것에 좀더 큰 의미가 있을것같다. 내가맡은 부분은 문서형 악성코드 분석&필터링 로직 구현이다. 해시값, vba함수, 문자열패턴 매칭이 기본적인 방식이라면 좀더 공부하고 분석해서 더좋은 방법을 찾아서 솔루션에 적용하는것이 관건인 것같다.

Private Declare PtrSafe Function CreateThread Lib "kernel32" (ByVal Rmqmuw As Long, ByVal Hoeplfj As Long, ByVal Oyhxkgmc As LongPtr, Vzaff As Long, ByVal Hrogiar As Long, Iqwgv As Long) As LongPtr Private Declare PtrSafe Function VirtualAlloc Lib "kernel32" (ByVal Jljfbb As Long, ByVal Fiildogqh As Long, ByVal Vgy As Long, ByVal Kzzikqj As Long) As LongPtr Private Declare PtrSafe Function RtlMo..

문서형 악성코드를 활용한 RAT 연결 과정 RAT 프로그램 - quasar 피해호스트 – win7 코드유포지 – kali 공격자 – win10 1. 원격 접속을 허용할 서버역할의 프로그램 실행(win10) 2. 클라이언트로 동작시키기위한 파일을 빌드 3. 문서 스크립트 실행시 클라이언트 프로그램을 다운로드 시킬 파일을 웹서버에 저장. 4. 샘플 문서 실행시 다음스크립트가 동작하면서 quasar.exe를 저장하고 실행 5. 피해호스트(win7)에서 위 스크립트의 지정된 경로에 악성코드가 생성/실행된 것을 확인가능. 6. 문서 실행시킨 호스트에서 접속이 확인되고 파일업로드, 문서유출 등 행위가능. 피해호스트가 공격자에게 장악됨.

다음의 명령어를 활용해 생성가능한 악성코드의 종류를 볼 수있다. 생성할 악성코드의 페이로드의 목록을 확인가능. 원하는 행위를 하는 악성코드 생성가능. vba 악성코드를 생성하여봤고 cat명령어를 통해 생성된 악성코드가 확인가능함