Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- c# 프로그램 종료
- Python Win32 API
- 파이썬 외부프로그램 실행
- Universal ShellCode
- vbscript
- TCP Server/Client
- PPT Malware
- c# 디렉토리 파일 조회
- c# 파일명 변경
- 파워쉘
- c# 파일 IO
- PowerShell
- c# 파일 읽기쓰기
- hex2bin
- c# xml 파싱
- 한글 악성코드
- anti vm
- Python LoadLibrary
- FTP Server/Client
- TCP Socket
- VMware
- Python GetProcAddress
- 파이썬
- c# 외부 프로그램 실행
- Hover Action
- 악성코드
- 최순실 악성코드
- Mouse Over
- pdf 악성코드
- UDP Server/Client
Archives
- Today
- Total
목록악성 한글 문서 (1)
그냥저냥
[HWP Malware] HWP_ParaText 취약점을 이용한 한글문서 분석
이용하는 한글 취약점은 한수원 샘플이랑 동일하며, 한글2010 기준으로 8.5.8.1443 버전 이하인 경우 해당 공격에 취약하다. 한글 문서 분석에 사용한 툴은 hwpscan2 v0.27 이며, 원래는 콘솔버전인 v0.21을 선호하지만 외부에서 더이상 구할 수가 없는듯하다 ㅠㅠ아쉬운대로 GUI 버전을 이용하자 우선 hwpscan2 프로그램으로 취약점을 스캔한다.버전이 업데이트 되면서 Vulnerability 부분에 Exploit.HWP.Heuristic 이라고 나오는데, v0.23 에서는 Exploit.HWP.Generic.43 이라고 나온다. 취약점 진단명인 Exploit.HWP.Generic.43 에서 맨뒤 43이 의미하는 것은 취약한 TagID 를 의미한다.해당 TagID에 대한 정보는 한컴에서 ..
Malware
2016. 8. 5. 02:35