악성한글문서 타입
위헙군 분류:
카스퍼스키에서 naming함
Bluenoroff - > 금전적인 탈취;; 거래소 해킹, 방글라데시 ATM
Kimsuky - > 정부, infrasucture, 사회적 혼한, 정보 탈취 :: 한수원 사이버 테러
Scarcruft -> group123, 금성12... 이름이 조금씩 다르게 불림... 탈북자 대상 :: Attack using Flash Zero Day, 모바일 악성 앱을 사용하기도 함;;
도깨비 캠패인(한수원 사이버 테러 2014.12 이후)
악성한글 문서
17년도 이전 정치관련, 남북 관련 문서, 외교관련
17년도부터: 가상화폐 관련 얘기, 이력서, 비트코인쪽으로 공격이 많이
한글문서 포맷
Body Text에 쉘코드
속성정보
OLE stream 포맷,,, OLE객체;;;에 취약점을!
Script태그 안에
1) Macro
Javascript, Ghostscript engine
gswin(pdf로 저장할때 해당 엔진이 사용됨)
자료연결
배포용문서 타입: ViewText 섹션이 생긴다
암호화가 돼서 백신에서 감지가 안된다
zlib 압축이 되어있다
<분석도구>
GUI
OffVis
SSV
Hwp Scan2
CLI
pip install olefile
pip install -pre python
쉘코드 분석
Emulator
scdbg : Report Mode, Scan for Api table(api 체크를 해준다)
Keystone->Unicorn
SC2BIN(최근엔 막힘)
shellcode to bin
Disassembler
IDA
Capstone
Cyberchef-disassemble function
쉘코드말고
정상적인 기능 악용하는 경우
binary가 embed되어 있다
'비오비' 카테고리의 다른 글
| [이종호멘토님]8/21 (0) | 2019.08.21 |
|---|---|
| [이상섭멘토님] Trust OS (0) | 2019.08.21 |
| 파폭2 (0) | 2019.08.17 |
| [신정훈 멘토님]파폭 (0) | 2019.08.17 |
| 8/4[김재기멘토님] (0) | 2019.08.04 |