200128_중국 지식인들의 북한 관을 살펴보면서.hwp_악성코드 해당 샘플은 CVE-2017-8291 취약점을 이용한 악성 HWP파일이다. 해당 파일은 제작할때 실수를 하였는지, 정상적으로 본문내용이 로드되지 않았다.
대신 악성데이터를 가진 EPS는 정상작동하였다. 한글문서가 실행되면서, 악성데이터가 담긴 EPS개체가 로드된다.
해당 eps파일 개체에는 암호화된 쉘코드가 담겨있다. EPS개체에 담긴 암호화된 악성데이터를 복호화해보면 아래와같이 쉘코드를 확인 할 수 있다.
해당 쉘코드는 scdbg 도구를 이용하여 간단하게 확인해 보았다. 확인된 경유지URL은 분석당시 연결되지 않아 추가로 받아지는 악성코드는 수집할 수 없었다.
경유지URL: hxxp:..........
200128_중국 지식인들의 북한 관을 살펴보면서.hwp_악성코드에 대한 요약내용입니다.
자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.
