오늘은 백신프로그램 탐지 회피(기타 보안 제품) 하려고 워드 파일을 PDF 포함하는 MalDoc in PDF에 대해 글을 적어 보겠습니다.
MalDoc in PDF로 작성된 파일은 PDF의 매직 넘버나 파일 구조로 되어 있음에도 Word에서 열 수 있는 파일이 되게 돼 있습니다.
파일을 Word에서 열면 파일에 Macro(매크로)가 설정되어 있으면 VBS가 작동하고 악성 동작을 수행을 진행합니다.
이번에 사용할 악성코드 해쉬값은 다음과 같습니다.
파일명:0723Request.doc.zip
사이즈:24.8 KB
MD5:3c90b82156211c30cb2db8c7d569f3ad
SHA-1:7dc6ea6c156186b57d422038a37d633d3a605379
SHA-256:75385dfea84ed375f6f5d0cfe93c603ea0fbf6f7a1c7e9b867253ed6f8bb5b38
그리고 최종적으로 사용되는 악성코드 해쉬값은 다음과 같습니다.
사이즈:207 KB
MD5:d537f8b812a3902b90aa16281aa1314b
SHA-1:2bfd1175e777e6df26b151071ec24376086a5c51
SHA-256:ef59d7038cfd565fd65bae12588810d5361df938244ebad33b71882dcf683058
해당 악성코드는 공격자는 PDF 파일의 개체 뒤에 Word에서 만든 Macro가 포함된 mht 파일을 쓰고 저장을 하고 구성된 파일은 파일의 시그니처 로서는 PDF 파일이라고 판정을 해버리지만, 사실은 워드 열리게 구성이 돼 있습니다.
MalDoc in PDF 분석
공격자는 PDF 파일의 개체 뒤에 Word에서 만든 Macro가 포함된 mht 파일을 쓰고 저장하게 하고 작성된 파일은 파일의 시그니처는 PDF 파일 00~0C10 까지 PDF 그다음부터는 Macro in mht 입니다.
여기서 PDF 분석을 하려고 PDFiD를 통해서 열어주면 다음과 같은 결과를 확인할 수가 있습니다.
PDF 뷰어 등에서 열어도 악성 어떤 행동을 볼 수는 없지만, Word에서 열면 의도하지 않은 악성 동작을 수행하므로 주의가 필요하며 또 기존의 Sandbox나 백신프로그램도 PDF 파일로서 인식해서 탐지가 안 될 수가 있습니다.
그러면 다음과 같은 결과를 확인할 수가 있습니다.
hxxps://cloudmetricsapp(.)com
hxxps://web365metrics(.)com해당 악성코드 등을 예방을 하기 위해서는 기본적인 보안 수칙을 지키는 것을 권장합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Python(파이썬)으로 만들어진 스틸러(Stealer)-ud123.bat(2024.7.15) (0) | 2024.07.19 |
|---|---|
| 윈도우 11 버전 24H2 출시 이후 Windows 업데이트 크기는 더 작아질것임 (0) | 2024.07.18 |
| 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드-근로신청서 관련의 건.docx.lnk(2024.7.9) (0) | 2024.07.17 |
| 마이크로소프트 특정 조건 만족시 KB5034440 및 KB5034441 업데이트 제공 하지 않음 (0) | 2024.07.15 |
| 파이어폭스 128(Firefox 128) 보안 업데이트 (0) | 2024.07.11 |
| 윈도우 10,윈도우 11 KB5040427,KB5040442 보안 업데이트 (0) | 2024.07.11 |
| ChatGPT(쳇GPT)의 macOS 앱은 채팅을 일반 텍스트로 저장 문제 패치 (0) | 2024.07.10 |
| 윈도우 곧 TLS 1.0 및 TLS 1.1 비활성화 (0) | 2024.07.09 |
