악성코드 정보 MD5 ec0c543675374a0ee9a83a4d55ca1a6c 특징 hwp/EPS/코드인젝션/드로퍼/??? 다운로드 https://app.any.run/tasks/496f832b-fee2-4224-8b0e-bed22d171354/ 악성코드 상세분석 먼저, SSView를 사용해 악성 hwp 구조를 살펴보면 BinData 스토리지에 BIN0001.PS가 들어있다. BIN0001.PS를 스트림 형태로 저장한 다음 zlib 압축을 풀어주면, 아래와 같이 디코딩된 eps 코드를 볼 수 있다. 이전에 분석한 한글 악성코드와 형태가 매우 유사해, get 뒤에 있는 가 xor 키값임을 알 수 있었다. 이번 키길이는 16바이트이다. 16바이트 키값을 활용해 직접 파이썬 코드를 짜도 되지만, 여기서는 e..
악성코드 정보 md5 f61991864cc8d9a58aa573b5e6b3e3cc 악성코드 상세분석 형태를 확인해보면, 위에 EEU 변수에 난독화된 코드가 들어가 있고, 마지막에 JKL을 EXECUTE하는 형태이다. vbs 파일 분석은 처음이라, 이것저것 구글링해보면서 난독화 해제하는 법을 찾아봤는데 대략 아래와 같은 방법이 존재하는 것 같다. 1. 비쥬얼스튜디오에서 디버깅하면서 확인 2. 변수 출력 방법 (msgbox, Wscript.Echo, Alert 등) 2번의 경우 다른 VBScript 악성코드 분석시 사용해보고 여기에 추가해보는 것으로 하고, 해당 악성코드의 경우 그리 복잡해보이지는 않으므로 여기서는 2번을 사용해보도록 한다. msgbox로 확인 시, 길이의 한계가 있어서 그런지 끝까지 확인을 ..
악성코드 정보 MD5 f2e936ff1977d123809d167a2a51cdeb 특징 EPS/코드인젝션/드로퍼 다운로드 https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 악성코드 상세분석 먼저, SSView로 한글 구조를 살펴봤는데, BinData 스토리지 안에 BIN0003.eps가 있다. 한글 eps코드가 어떻게 악용되어 악성코드가 동작하게 되는지는 나중에 자세하게 공부해서 포스팅해보려 한다. eps, zlib 압축 해제 한글의 eps 코드는 zlib로 압축된 상태이므로 압축을 먼저 풀어주어야 한다. 원래는 HwpScan이라는 툴을 사용하면 decompress를 해주는 기능이 있었는데 해당 툴이 유료화가 되었다...ㅠㅠ 관련 포스팅 20..
한글 문서형 악성코드는 한글의 eps 취약점을 사용하는 경우가 많다. eps는 BinData 영역에 .eps 형태로 있는데 zlib로 압축되어 있는 상태이다. 한글 스토리지 뷰어? 툴중에 가장 많이 쓰이는게 아무래도 누리랩의 HwpScan인데 이게 유료화로 전환이 되었다. HwpScan을 사용하면 eps 부분에 대해 zlib 압축을 해제해주는 기능이 포함되어 있어 편한데 사용할 수 없게 되어 파이썬으로 수동 압축해제를 시도하게 됐다. 정말정말 간단한데 에러 해결에 시간이 좀 걸렸기 때문에 여기에 정리해 놓는다! eps stream 얻기 HwpScan 툴을 대신해, SSView 툴을 사용했다. BinData 영역 중 원하는 데이터 부분에 오른쪽 마우스를 클릭하면 'Save Stream' 기능이 있다. 한글..
