161108_우려되는대한민국.hwp_1 16년도 악성코드인 우려되는 대한민국.hwp 이다. 최종적으로 악성행위를 하는 파일은 현재 경유지URL이 연결되지 않아 분석이 불가능하였다.
샘플을 구하게되면 추가로 포스팅을 할 예정이다. 관련기사: 우려되는 대한민국.hwp 파일의 본문이다.
정상적인 한글 문서로 보이지만, 악의적인 EPS개체가 삽입되어있는 악성파일이다. 본문의 하단 부분에 EPS개체가 삽입되어있으며, 개체가 로드되면서 악의적인 공격코드가 실행된다.
EPS개체의 데이터는 아래와 같다. BOF가 발생하는 부분은 자세하게 보지 않았지만, 반복되는 0xB5에의해 BOF가 발생했을것으로 보인다.
더미코드 아래에 쉘코드가 있는것이 확인되었다..........
161108_우려되는대한민국.hwp_1에 대한 요약내용입니다.
자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.
![180917_EPS 취약점을 이용한 악성코드 [2018년도 국정감사계획서-수정(안).hwp] 분석](https://mblogthumb-phinf.pstatic.net/MjAxODExMjVfMTIy/MDAxNTQzMTI1NTY0Njg3.JnlVbmbcXDdoyPBFAjYvCsGYQymCWptQntxV6EueVo4g.BbMf6nq27blto5uG4quO_8B8ib-R6vJMlGpzNDHmrpcg.PNG.hanguk529/1_%B8%DE%C0%CF%BA%BB%B9%AE.png?type=w2)
