[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 계속 진행해서 HimTratIcon.exe 살펴보자. 1. Injection 상세분석(HimTratIcon.exe)alloc 할당을 진행 후 반복을 통해 메모리에 PE파일을 쌓는 걸 확인할 수 있었다 진행 시 System 폴더 경로를 얻은 후 해시 값을 통해 “userinit.exe”을 얻는 것을 확인할 수 있다. 이후 alloc 할당까지 진행하는 것을 알 수 있으며, CreateProcessA() 까지 호출하는 것을 확인할 수 있었다. “Userini.exe” 프로세스를 Suspend 상태로 생성하는 것을 알 수 있다. 이후 살펴보면..
[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 파일> (첨부2)20-0206_법인_운영상황_평가표_서식(법인작성용).hwp [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② 1. 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. 1.2 취약점 분석 방법#1 (PostScript)> https://jeongzzang.com/129> https://jeongzzang.com..
[Malware analysis] 북한의 회색지대 전략과 대응방안.hwp 참조 - '북한의 회색지대 전략과 대응방안' 한글문서(HWP) 유포 중 > https://asec.ahnlab.com/1347 본 블로그에서 ESP 관련 내용을 확인할 수 있다. KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(그림 1)을 보게되면 샘플 파일을 확보한 것을 확인할 수 있다.(그림 1) (그림 2)을 보게되면 본문 내용과 함께 해당 파일의 정보를 확인할 수 있으며, 2019년 작성 되어 2020년 6월 23일에 수정된 정보와 작성자는 Venus.H로 확인할 수 있다. (그림 2) 한글 파일 구조 확인 시 BinData는 PNG, OLE, EPS로 구성되어 있으며 EPS 코드 용량이 한글 문서 용량의 절반을 ..
[Malware analysis] KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(CVE-2017-8291) 참조 - [보고서] 한글 파일에 숨어든 '고스트' > https://asec.ahnlab.com/1239 - EPS 파일을 이용한 악성 한글 HWP 문서> 링크 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. CVE-2017-8291Cve-2017-8291 취약점은 그래픽 파일을 제공하기 위해 만들어진 EPS 파일을 이용한 ..
[Reversing] 메모리 생성 방식에 따라 버퍼 기본값 변화 참조> https://www.codeguru.com/cpp/w-p/win32/tutorials/article.php/c9535/Inside-CRT-Debug-Heap-Management.htm CVE-2017-8291 취약점에서의 Postscript aload 연산자를 살펴보던 중 0x020EADBA or 0x0DF0ADBA 같은 값이 있어 찾아본다.메모리 생성 방식에 따라 버퍼의 기본 값이 정해진다.HeapAlloc() 호출 후 메모리를 보면 아래와 같다.ex) 주소 HeapAlloc () 이후 00320FD8 09 00 09 01 00320FDC E8 07 18 00 00320FE0 0D F0 AD BA 00320FE4 0D F0 AD ..
- Total
- Today