악성 문서 파일의 구성 요소

스피어피싱 메일 첨부 파일의 일반 유형

MS office 문서

PDF 문서

HWP 문서

RTF 문서

ZIP, jar 등 압축 파일

 

굉장히 그럴듯 한 메일을 보내 첨부된 파일을 열게 만듬

왜 첨부 파일로 보내는가?

소프트웨어 취약점을 공격해 파일에 내장된 객체(쉘 코드, 스크립트, Exploit, 실행파일 등)를 강제로 실행

 

악성 문서 파일의 구성요소

- Exploit

문서 파일을 처리하는 소프트웨어(MS office, 한컴 오피스, Adobe PDF 등)의 비정상 동작을 유발,

임의 코드를 강제로 실행하도록 유도하는 문서 내의 데이터

 

- ShellCode

메모리 상에서 임의로 실행되는 머신 코드 혹은 명령어

공격의 첫 단계로 이 코드를 메모리 상에서 실행시키는 것이 우선적인 목표

 

- Script / Macro

오피스 프로그램에 의해 직접 실행되는 VB / 포스트 / 자바 스크립트

악의적으로 집어넣은 경우 오피스 프로그램은 이를 실행

 

- 실행 파일

악성 문서파일 내에 암호화된 형태로 내장되어 있음

스크립트 혹은 쉘 코드에 의해 복호화 후 실행