Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- Python GetProcAddress
- c# xml 파싱
- TCP Server/Client
- c# 프로그램 종료
- Python LoadLibrary
- 파이썬 외부프로그램 실행
- Mouse Over
- PPT Malware
- pdf 악성코드
- c# 파일명 변경
- vbscript
- TCP Socket
- Hover Action
- Universal ShellCode
- FTP Server/Client
- c# 디렉토리 파일 조회
- anti vm
- c# 파일 IO
- Python Win32 API
- 한글 악성코드
- PowerShell
- hex2bin
- 최순실 악성코드
- 파이썬
- c# 외부 프로그램 실행
- UDP Server/Client
- 파워쉘
- 악성코드
- c# 파일 읽기쓰기
- VMware
Archives
- Today
- Total
목록최순실 악성코드 (1)
그냥저냥
[HWP Malware] EPS Buffer Overflow를 이용한 악성한글문서 분석
최근(2016.10) 한글 문서형 악성코드를 우연히 입수하게되어서 간단히 정리만 함(관련기사) http://www.focus.kr/view.php?key=2016111000114130651 - '최순실 사태' 틈타 북한 소행 추정 사이버테러…악성코드 조심 해당 악성코드는 예전에 분석했던 HWP ParaText 취약점을 이용한 악성코드가 아닌 Ghost Script를 이용하여 쉘코드를 실행시킨다. 아래는 간단한 파일정보 스샷 HwpScan2 툴로 파일 구조를 살펴보면 바이너리 데이터 영역에 EPS 확장자를 가진 데이터가 존재하며, 압축해제된 데이터에는 조금 생소한 EPS 스크립트가 들어있는 것을 볼 수 있다. EPS 확장자는 Adobe사에서 개발한 Encapsulation Post Script 라는 것이며..
Malware
2016. 11. 12. 17:44