-
악성 PDF 파일 진단
연재 순서 첫번째 글: PDF 파일 구조 분석 두번째 글: PDF 취약점과 진단 방안 세번째 글: 악성 PDF 파일 진단 1. 들어가며 취약점과 진단 방안을 통해 PDF파일에서 공격에 활용될 수 있는 취약점과 악성 여부 진단 방안을 알아보았다. 이를 바탕으로 실제 악성파일의 동작방식과 사용된 취약점을 확인하고 진단과정을 적용해본다. 2. 악성 PDF 파일 진단 (1) CVE-2017-8759 CVE-2017-8759은 Microsoft .Net Framework 코드 실행 취약점으로 2017년 9월 12일에 발표되었다. 해당 취약점은은 WSDL의 부적절한 xml처리 때문에 발생한다. 공격자는 WSDL 메시지...
-
PDF 취약점과 진단 방안
연재 순서 첫번째 글: PDF 파일 구조 분석 두번째 글: PDF 취약점과 진단 방안 세번째 글: 악성 PDF 파일 진단 1. 취약점과 진단 방안 (1) 위험한 작업(Action) 위 그림의 작업(Action)들은 파일 핸들에 대한 직접 또는 간접적인 액세스를 허용하므로 URL호출 또는 파일 쓰기와 같은 위험한 기능에 악용될 가능성이 있다. 예를 들어 Page Object의 /AA(Addition Actions) Entry는 GotoE Entry를 호출할 수 있어 다른 PDF의 악성 content에 접근하여 악성 행위를 수행시킬 수 있다. JavaScript 코드의 경우 JavaScript 엔진상의...
-
PDF 파일 구조 분석
연재 순서 첫번째 글: PDF 파일 구조 분석 두번째 글: PDF 취약점과 진단 방안 세번째 글: 악성 PDF 파일 진단 1. 분석 목적 PDF 파일의 구조를 파악하여 취약점을 확인하고 파일의 악성 여부 진단이 가능하도록 한다. 2. PDF의 구조 PDF 파일은 <그림 1-1> 과 같이 크게 Header, Body, Cross Reference Table, Trailer 부분으로 이루어 진다. (1) PDF Header 8 Byte의 크기를 가지며, PDF 파일의 Signature 값과(%PDF) 버전정보를 담는다. (2) PDF Body PDF 의 Body 영역은 PDF...
-
RanSim을 이용한 랜섬웨어 행위 시나리오 확인하기
개요 RanSim이라는 프로그램을 소개하고 랜섬웨어가 어떠한 방식으로 사용자의 파일을 암호화하는지 살펴본다. RanSim이란 KnowBe41사는 과거 유명한 해커였던 Kevin Mitnick이 보안 컨설턴트로 참여하고 있으며 랜섬웨어나 다른 보안 문제를 효과적으로 관리할 수 있는 도구와 교육을 제공하고 있다. RanSim2은 이 KnowBe4 사에서 개발한 랜섬웨어 행위 시뮬레이터 프로그램이다. RanSim은 기존 시스템에 존재하는 파일에는 영향을 주지 않으며 100% 안전한 시뮬레이션을 제공한다. 본 문서에서 사용한 RanSim 버전은 2.1.0.3 버전이다. RanSim은 버전을 업그레이드하면서 최신 랜섬웨어 경향을 반영하고 있으며 시나리오의 개수도 점점 늘어나고 있다....
-
안드로이드 실행 파일 포맷 - dex (3)
연재 순서 첫번째 글: classes.dex 파일 포맷 (Header, String IDs) 두번째 글: classes.dex 파일 포맷 (Type IDs, Proto IDs) 세번째 글: classes.dex 파일 포맷 (Field IDs, Method IDs) 네번째 글: classes.dex 파일 포맷 (Class Defs, Map List) 1. classes.dex 추가 파일 포맷 이전 글에 이어 계속 설명을 이어갑니다. (5) Field IDs Field 정보 역시 헤더에 시작 위치와 개수가 저장되어 있다. print hdr['field_ids_size'] # 전체 Field 정보 개수 print hex(hdr['field_ids_off']) # 전체 Field 정보 시작 위치...