CANKO DMC IMPORT ENQUIRY.xlam 파일을 분석해 볼겁니다. (상암 DMC 도 아니고 캔코 DMC는 뭐야...) 엑셀 파일이니깐 일단 oledump 로 확인을 해봅시다! 얼레? 트리 구조로 되어있는 부분에 A2 부분 보이시죠? ole 구조로 A2 스트림에 악성 개체가 숨어있는거 같습니다. 엑셀 내 xl/embeddings 위치에 "Bphg.MQgp27h ole" 파일이 삽입되어 해당 ole 파일을 이용하여"EquATIOn nAtivE" 파일을 실행 한다 정도로 쉽게 생각하시면 될 것 같습니다. 이름만 봐도 느낌이 딱 오시죠? EQUATION! (방정식?) 역시! CVE-2017-11882, CVE-2018-0802 관련 취약점으로 MS 오피스 수식 편집기 취약점 관련 내용인것 같습니..
