반응형
DFIR/malware review
-
kimsuky_악성 HWP 한글DFIR/malware review 2019. 10. 24. 23:53
악성 한글 문서 내용 - 한반도 대북 정책 관련 한미/한중 외교에 관한 질문 내용 공격 대상 - 국내 주요 공공기관 및 기업 은 정확히 확인하지 못하였으나, 관련 전문가 또는 참가자를 대상으로 했을 것이라 한다. 공격자 - CVE-2017-8291 고스트스크립트 취약점을 이용한 학성 EPS 이미지 포맷 파일을 문서에 삽입하여 악성 기능을 실행함. 파일정보 - 파일 타입: 한글 워드프로세서 문서 - 파일명: kinu 전문가 자문 요청사항(한미동맹과 한중관계).hwp - MD5: ~ - SHA256: ~ 주요행위 - 프로세스에 악성코드 인젝션 악성 한글 문서는 인젝션을 두 번 수행한다. 인젝션 결과 프로세스 트리는 위와 같이 그려진다. 이 과정은 최근 확인되고 있는 kimsuky 유형 hwp 악성코드의 특징..