문서형 악성코드 분석 개요

문서형 악성코드란?

- 문서형 악성코드는 일반적인 악성코드(실행파일, exe)과는 달리 문서형 파일(doc, hwp, pdf 등)으로 존재

- 내부에 매크로와 같은 취약점을 실행하게하는 부분이 있어서 최종적으로 악성코드가 실행되는 것

 

분석하기 위해선?

가장 쉬운 방법은 가상머신에 올려서 직접 동작을 확인해보는 것

하지만 이 방식으로는 구체적으로 어떤 코드가 실행되고 이런것은 안보이기 때문에 구체적으로 분석하려면 툴이 필요함

 

문서형 악성코드의 형식

- OLE 형식: 객체 연결 삽입(object linking and embedding), 애플리케이션 사이에서 객체를 공유하는 기술, zip 파일 형태를 지닌 것들도 있음

- RTF 형식: 서식 있는 텍스트 포맷(rich text format)

등..

 

MS오피스 악성 HTA 실행

- Doc 확장자를 사용하는 rtf 파일 (호환성 때문에 확장자가 바뀌어도 사용 가능)

감염 로직

 

처음에는 CVE 문서 내부의 스크립트를 통해 파일 드롭을 하고 있다. 그게 나중에는 exe 실행파일을 만들게 되어 악성코드가 실행되게 된다.

 

이 문서형 악성코드의 제일 중요한 문제는 "어떻게 시작이 되었는가, 어떻게 문서를 다운로드하고 실행되기까지 진행되는가" 이다.

 

사용할 분석 툴: Rtfdump

https://blog.didierstevens.com/my-software/#rtfdump

My Software