본문 바로가기

excel5

엑셀 매크로 코드에서 확인된 Anti-VM 기능 (very hidden) ASEC분석팀은 3월 25일 악성 매크로 코드를 '좀 더' 숨긴 엑셀파일에서 Anti-VM 기능까지 추가 된 것을 확인하였다. 해당 엑셀파일을 실행 시, 사용자는 아래의 그림과 같이 왼쪽 하단에 'Sheet1' 이름의 시트만 확인이 가능하다. 실제 악성코드가 사용하는 매크로 코드는 'Sheet1'이 아닌 숨겨진 시트에서 확인이 가능하다. 매크로 시트를 구성하는 바이너리를 보면 '01' (Excel 4.0 macro sheet)가 '02' (very hidden)로 값이 되어 있음을 확인할 수 있고, 02를 00 으로 수정 시 숨겨져 있는 악성 Sheet를 확인 할 수 있다. very hidden에 대한 자세한 내용은 아래 글을 참고하면 된다. 2020/03/11 - [악성코드 정보] - 악성 매크로 코드.. 2020. 3. 27.
악성 매크로 코드를 '좀 더' 숨긴 엑셀 파일 유포 - very hidden 새로운 방식으로 악성 매크로 코드를 숨긴 엑셀 파일이 발견되었다. 이번 파일은 엑셀 4.0 (XLM) 매크로 시트를 이용하였는데, 기존의 악성 매크로 시트를 단순히 숨겼던 방식에서 일반적인 사용자 인터페이스로는 숨김 속성을 없앨 수 없게 없게 변경하였다. VBA 매크로 코드 방식을 이용하지도 않고 XLM 매크로 시트를 직접 확인할 수도 없기 때문에 문서 내에 악성 코드가 어디에 존재하는지 바로 확인하기 어렵다. 파일명 - invoice_805274.xls 생성일 - 2020-03-09 15:30:32 MD5 - a7b074da0251f0f8952090967846737e 엑셀 4.0 매크로 시트를 이용한 악성 파일은 2019년 초 활발하게 유포되었다. 당시 유포된 파일은 매크로 시트를 숨기기(Hide) 함.. 2020. 3. 11.
어도비 플래쉬 CVE-2012-0754 취약점 악용한 문서 파일들 발견 최근 발견되고 있는 타겟 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램과 같은 전자 문서 파일에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다. 그 중에서 특히 어도비 리더와 어도비 플래쉬(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다. 금일 해외에서 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일 또는 엑셀(Excel) 파일을 이용한 타겟 공격이 발견되었.. 2012. 3. 6.
마이크로소프트 2011년 12월 보안 패치 배포 마이크로소프트(Microsoft)에서 2011년 11월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 12월 14일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 13건으로 다음과 같다. Microsoft Security Bulletin MS11-087 - Critical Vulnerability in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2639417) Microsoft Security Bulletin MS11-088 - Important Vulnerability in Microsoft Office IME (Chinese) Could Allow Elev.. 2011. 12. 14.
마이크로소프트 2011년 9월 보안 패치 배포 마이크로소프트(Microsoft)에서 2011년 8월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 9월 14일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 5건으로 다음과 같다. Microsoft Security Bulletin MS11-070 - 중요 WINS의 취약점으로 인한 권한 상승 문제점 (2571621) Microsoft Security Bulletin MS11-071 - 중요 Windows 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2570947) Microsoft Security Bulletin MS11-072 - 중요 Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점 (25875.. 2011. 10. 28.