악성 HWP문서 분석전략

악성 HWP 문서의 유형

- Post Script

문서 내에 ".EPS" 혹은 ".PS"확장자를 가진 파일이 존재, 해당 파일 안에 악성 포스트 스크립트가 존재

- Exploit

문서 내에 쉘 코드 바이너리가 포함, Exploit에 의해 임의로 동

- Binary File Embed

문서 내에 PE, SHF, OLE등의 포맷의 파일이 존재

- Macro

문서 내에 악성 자바스크립트 코드를 포함한 스트림이 존재

 

Post Script

일반적으로 포스트 스크립트는 암호화 되어 있으며, 반복문을 통해 복호화 작업을 수행

복호화가 끝난 스크립트는 "프로세스 인젝션을 통한 쉘코드 삽입" 혹은 "파일시스템 조작"등의 공격을 시행

 

Exploit

데이터가 무질서함, NOP(No Operation)코드가 존재할 수 있음, 알려진 코드 루틴(함수의 프롤로크 코드, 점프/분기문 등)이 관찰될 경우 쉘코드일 가능성이 높음

탐지 시 쉘 코드 패턴을 정의한 IoC(Indicator of Compromise)와 YARA 등의 도구 이용 권장

 

Binary File Embed

OLE, PE, SMF등의 포맷을 가진 파일이 임베드 된 경우, 오브젝트 임베트 타입 가능성 높음

=> 파일 확장자로만 판단하기 보단 파일 내부 패턴을 확인 혹은 file 명령어를 통해 실제 파일의 포맷을 확인

 

Macro

Scripts 이름을 가진 스토리지 혹은 스트림이 있다면 매크로 타입 가능성 높음

악성 자바스크립트가 난독화 되어 있을 경우, 브라우저의 개발자 도구 혹은 브라우저 플러그인을 이용하여 복호화 수행

실행 과정에서 LOLBins(Living off the Land Binaries)를 통해 VB 스크립트 혹은 파워쉘 스크립트를 추가로 다운로드 후 실행(센서 우회, 파일 경량화 목적)