[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 계속 진행해서 HimTratIcon.exe 살펴보자. 1. Injection 상세분석(HimTratIcon.exe)alloc 할당을 진행 후 반복을 통해 메모리에 PE파일을 쌓는 걸 확인할 수 있었다 진행 시 System 폴더 경로를 얻은 후 해시 값을 통해 “userinit.exe”을 얻는 것을 확인할 수 있다. 이후 alloc 할당까지 진행하는 것을 알 수 있으며, CreateProcessA() 까지 호출하는 것을 확인할 수 있었다. “Userini.exe” 프로세스를 Suspend 상태로 생성하는 것을 알 수 있다. 이후 살펴보면..
[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 파일> (첨부2)20-0206_법인_운영상황_평가표_서식(법인작성용).hwp [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② 1. 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. 1.2 취약점 분석 방법#1 (PostScript)> https://jeongzzang.com/129> https://jeongzzang.com..
[Malware analysis] 탈북민 인터뷰 내용으로 위장한 APT 공격
[Malware analysis] 탈북민 인터뷰 내용으로 위장한 APT 공격 참조 - 김수키(Kimsuky) APT 그룹, 과거 라자루스(Lazarus) doc 공격 방식 활용 > https://blog.alyac.co.kr/3052?category=957259 (그림 1) VBA 매크로를 이용한 악성 MS 워드 문서파일이다.(그림 1) 악성 워드 문서가 실행되면 (그림 2)와 같이 나오면 VBA 내부에 포함되는 악성 매크로를 사용하게 유도하는 콘텐츠 사용 보안 경고를 확인할 수 있다. (그림 2) VBA 매크로 확인 시 Project 암호가 걸려있는 걸 확인할 수 있다. DPB > DPx 변경하는 방법도 있다고 하지만 잘안되서 기존 방법을 사용했다.(그림 3) vbaProject.bin 확인을 통해 여..
[Malware analysis] KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp
[Malware analysis] KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(CVE-2017-8291) 참조 - [보고서] 한글 파일에 숨어든 '고스트' > https://asec.ahnlab.com/1239 - EPS 파일을 이용한 악성 한글 HWP 문서> 링크 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. CVE-2017-8291Cve-2017-8291 취약점은 그래픽 파일을 제공하기 위해 만들어진 EPS 파일을 이용한 ..
- Total
- Today