일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- c# 프로그램 종료
- TCP Server/Client
- VMware
- PPT Malware
- c# 외부 프로그램 실행
- Python LoadLibrary
- c# 파일 IO
- Python GetProcAddress
- 파워쉘
- PowerShell
- 한글 악성코드
- 악성코드
- FTP Server/Client
- anti vm
- 최순실 악성코드
- pdf 악성코드
- Hover Action
- vbscript
- hex2bin
- TCP Socket
- Universal ShellCode
- 파이썬 외부프로그램 실행
- c# 파일 읽기쓰기
- c# xml 파싱
- UDP Server/Client
- c# 파일명 변경
- 파이썬
- Python Win32 API
- c# 디렉토리 파일 조회
- Mouse Over
- Today
- Total
목록한글 악성코드 (2)
그냥저냥
최근(2016.10) 한글 문서형 악성코드를 우연히 입수하게되어서 간단히 정리만 함(관련기사) http://www.focus.kr/view.php?key=2016111000114130651 - '최순실 사태' 틈타 북한 소행 추정 사이버테러…악성코드 조심 해당 악성코드는 예전에 분석했던 HWP ParaText 취약점을 이용한 악성코드가 아닌 Ghost Script를 이용하여 쉘코드를 실행시킨다. 아래는 간단한 파일정보 스샷 HwpScan2 툴로 파일 구조를 살펴보면 바이너리 데이터 영역에 EPS 확장자를 가진 데이터가 존재하며, 압축해제된 데이터에는 조금 생소한 EPS 스크립트가 들어있는 것을 볼 수 있다. EPS 확장자는 Adobe사에서 개발한 Encapsulation Post Script 라는 것이며..
이용하는 한글 취약점은 한수원 샘플이랑 동일하며, 한글2010 기준으로 8.5.8.1443 버전 이하인 경우 해당 공격에 취약하다. 한글 문서 분석에 사용한 툴은 hwpscan2 v0.27 이며, 원래는 콘솔버전인 v0.21을 선호하지만 외부에서 더이상 구할 수가 없는듯하다 ㅠㅠ아쉬운대로 GUI 버전을 이용하자 우선 hwpscan2 프로그램으로 취약점을 스캔한다.버전이 업데이트 되면서 Vulnerability 부분에 Exploit.HWP.Heuristic 이라고 나오는데, v0.23 에서는 Exploit.HWP.Generic.43 이라고 나온다. 취약점 진단명인 Exploit.HWP.Generic.43 에서 맨뒤 43이 의미하는 것은 취약한 TagID 를 의미한다.해당 TagID에 대한 정보는 한컴에서 ..