작은 메모장

하나의 예시를 보자 일반적인 한글 파일 그러나 이를 실행하게 되면 윈도우 시작 프로그램에 이상한 파일이 생긴것을 확인 가능 또, 문서 상단 알수없는 크기의 영역이 잡힌 것을 확인 가능 이것이 바로 PostScript로 공격을 시행한 것임 PostScript? 어도비에서 만든 언어 각종 고화질 벡터 이미지를 표현 가능 어떻게 악성 코드가 생긴 것? 악성 PostScript가 주입된 HWP문서를 열람하게 되면 HWP 프로세스가 실행 실행된 HWP 프로세스는 문서를 파싱하여 사용자에게 뷰로 보여줌 HWP는 문서를 뷰로 처리하는 과정에서, PostScript가 있는지 확인 있다면, ghostscript를 실행 함 (ghostscript는 PostScript를 해석하는 인터프리터) 실행된 ghostscript는 ..

악성 HWP 문서의 유형 - Post Script 문서 내에 ".EPS" 혹은 ".PS"확장자를 가진 파일이 존재, 해당 파일 안에 악성 포스트 스크립트가 존재 - Exploit 문서 내에 쉘 코드 바이너리가 포함, Exploit에 의해 임의로 동 - Binary File Embed 문서 내에 PE, SHF, OLE등의 포맷의 파일이 존재 - Macro 문서 내에 악성 자바스크립트 코드를 포함한 스트림이 존재 Post Script 일반적으로 포스트 스크립트는 암호화 되어 있으며, 반복문을 통해 복호화 작업을 수행 복호화가 끝난 스크립트는 "프로세스 인젝션을 통한 쉘코드 삽입" 혹은 "파일시스템 조작"등의 공격을 시행 Exploit 데이터가 무질서함, NOP(No Operation)코드가 존재할 수 있음,..