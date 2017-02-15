위협 행위자의 문서 중 하나를 분석한 결과, 매크로가 실행되면 두 개의 개별 PowerShell 스크립트가 실행되는 것으로 나타났습니다. 첫 번째 스크립트는 hxxp://139.59.46.154:3485/eiloShaegae1에서 제공되는 PowerShell 스크립트를 실행합니다. 이 호스트는 공개적으로 사용 가능한 크로스 플랫폼 원격 액세스 도구인 Pupy RAT를 사용한 공격과 관련이 있을 수 있습니다.

두 번째 스크립트는 VirtualAlloc을 호출하여 버퍼를 생성하고, memset을 사용하여 해당 버퍼에 Metasploit 관련 셸코드를 로드한 후 CreateThread를 통해 실행합니다. Metasploit은 원격 대상 시스템에 대해 익스플로잇 코드를 개발하고 실행하기 위한 도구로 널리 사용되는 오픈 소스 프레임워크입니다. 셸코드는 셸코드 시작 지점으로부터 오프셋된 위치에서 4바이트의 DWORD XOR 연산을 수행하여 코드를 변경함으로써 루프를 생성하고, 이로 인해 XOR 연산이 0x57회 계속되도록 합니다.

이 실행이 성공하면 VirtualAlloc을 사용하여 버퍼를 만들고 hxxp://45.76.128.165:4443/0w0O6에서 모든 파일 콘텐츠를 검색할 때까지 루프에서 InternetReadFile을 호출합니다. 그런 다음 PowerShell에 문자열로 반환되며, 이 문자열은 예상 페이로드가 PowerShell임을 나타내는 invoke-expression(ix)을 호출합니다.

참고로 이 매크로에는 URLDownloadToFileA를 사용하는 DownloadFile() 함수가 포함되어 있지만, 실제로 사용된 적은 없습니다.

악성 문서와 관련된 관찰을 바탕으로, Metasploit의 Meterpreter와 연관된 것으로 추정되는 후속 셸 세션이 확인되었으며, 이는 세 개의 Shamoon 관련 파일(ntertmgr32.exe, ntertmgr64.exe, vdsk911.sys) 배포에 앞서 추가 도구 및 멀웨어를 배포할 수 있도록 했습니다.