728x90
HWP 트리아지 징후
OLE스트림을 포함하고 있고 실행 파일을 포함하고 있는 스트림이 존재하면 악성 가능성 높음
- BinData 스토리지에 OLE 확장자를 가지고 있는 스트림이 존재하는지 확인
- HWP 파일의 압축을 푼 후, 패턴매칭을 활용해 실행 파일을 포함하고 있는 스트림이 존재하는지 확인
포스트 스크립트를 포함하고 있는 스트림이 존재하면 악성일 가능성이 높음
- PS 또는 EPS 확장자를 가지고 있는 스트림이 존재하는지 확인
- 스트림 내용을 확인하여 정상적인 포스트 스크립트인지 확인
동일한 내용의 스트림이 다수 존재하는 경우 악성일 가능성이 높음
- 동일한 사이즈의 스트림이 다수 존재하는지 확인
실행 파일을 포함하고 있는 스트림(PE파일)이 존재하는 경우 악성일 가능성이 높음
- HWP 파일의 압축을 푼 후, 패턴 매칭을 활용해 실행 파일을 포함하고 있는 스트림이 존재하는지 확인
스크립트를 포함하고 있는 경우 악성일 가능성이 높음
- 스크립트 스토리지를 조사하여 스크립트를 포함하고 있는 스트림이 존재하는지 확인
악성 코드 분석 순서
1. 악성 코드를 분석하려면 먼저 OLE, OOXML인지 구분
DOC, HWP, XLS, PPT - OLE Compound Document
DOCX, HWPX, XLSX, PPTX - Office Open XML(7ZIP으로 풀기)
2. 실행파일을 포함하는지 확인
"MZ" 코드 확인
3. 코드 분석
"MZ" 패턴을 yara 룰로 만들고 패턴 탐지
IDA, x64dbg로 분석
'교육 및 자격증 > KISA : 스피어피싱 기본' 카테고리의 다른 글
| 쉘코드 분석 (0) | 2023.10.24 |
|---|---|
| 스피어피싱 이메일 분석 (0) | 2023.10.24 |
| 표적 공격 (0) | 2023.10.23 |
| KISA : 스피어피싱 기본 (0) | 2023.10.23 |
