MS Office 워드나 엑셀같이 문서 파일을 이용한 악성코드를 분석하다보면 만나게 되는게 매크로를 이용하는 부분이다. 근데, 이 매크로 부분이 종종 안보인다거나 매크로가 있는 시트를 숨겨놓는다던가 아니면 매크로 자체에서 매크로를 실행시켜서 악성 행위를 하는 프로그램은 드롭시키고(혹은 악성행위는 수행하고) 문서 파일 자체는 꺼버리는 행위를 하기도 한다. 그러면 그 사이에 재빨리 매크로를 채올 수 있는가? 그것도 사실 힘들겠지.. 그래서 찾다보니 olevba 라는 신박한 툴이 있었다.(매크로가 있는 시트를 숨겨놓는 경우는 다음 글에서 어떻게 해결하는지 정리한다.)
굉장히 신기한 툴인데, 문서 파일 안 매크로 스크립트인 VB script를 추출해주는 툴이다. 심지어 VBA 프로젝트에 암호가 걸려있어도 매크로 자체는 추출이 문제 없이 완료되기도 한다.
그래서 어떻게 사용하냐면
https://www.decalage.info/python/oletools <- olevba의 공식 사이트다
공식 사이트에서 다운로드 지침에 따라 먼저 다운로드를 받는다
사용법은 굉장히 간단한데
python olevba.py [malware file] > result.txt
식의 명령을 쳐주면 디폴트 값으로 매크로가 추출된다.
이외에도 파이썬 API 기능으로 지원되기 때문에 추출된 매크로 정보를 조금씩 조작해서 원하는 정보만 빼내는 스크립트도 제작가능할 것 같다.
반응형
'Analysis' 카테고리의 다른 글
| 18. OSINT 관련 12개 정보 (0) | 2019.09.16 |
|---|---|
| 17. MS Office VBA 프로젝트 암호 깨부수기(+xlSheetVeryHidden 깨부수기) (0) | 2019.09.12 |
| 15. Shellcode 2 exe 사이트 막힘에 대한 대처방안(OllyDBG로 분석) (0) | 2019.09.02 |
| 14. Nemty (0) | 2019.08.29 |
| 13. 분석 특징 정리 (0) | 2019.08.26 |
