악성 hwp 문서 분석 전략
- 악성 hwp 문서의 일반적인 유형
1.포스트스크립트
- .EPS 혹인 .PS
- 포스트스크립트는 거의 암호화 되어 있음
xor 연산은 통해 복호화를 함.... 키값이 노출되어 있으나 ghostscript<-- 디버깅 도구를 이용해서 키값을 추출할 수 있다
(쉘코드가 실행되며 메모리 적재, 파일 및 스크립트 생성)
※ 암호화가 되어 있을 경우 키값을 이용해 복호화를 해야함
2.익스플로잇 - 쉘코드, 바이너리
- 사이즈, 내용이 같은 동일한 스트림이 다수 존재
- 쉘코드 - 메모리상에서 실행
- 데이터의 무작위성 - 패턴을 기준으로 코드를 추출
3.오브젝트 바이너리 임베드 유형 PE, SWF, OLE
- OLE 확장자 파일이 존재
- OLE 파일에 다른 실행 파일이 임베드 되어 있음
- 시그니처를 분석해서 확인 가능
4.매크로유형 - 자바스크립트가 주로 사용됨
- script 저장소가 보이거나 소스가 보임