Search

게시물

Search
[실습] 악성코드 분석
6

파일 정보

악성코드 상세 분석

1. pdf 내 의심스러운 키워드 찾기

badpdf.pdf 분석
PDF, MS Office
[실습] 악성코드 분석
2024/07/31

기존 코드

개발자 도구 콘솔로 확인 (console.log())

코드가 실행되지 않도록 eval() 을 제외하고 콘솔에 실행
알람 및 리다이렉션이 실행되지 않도록 해당 부분 제외 후 재실행
console.log(KEY) 를 실행하여 KEY 값 확인 가능
KEY : BEEUM1@34!@#$
JavaScript_1
난독화 해제
[실습] 악성코드 분석
2024/07/21

기존코드

코드 뷰티파잉(code beautifying)

뷰티파잉 결과 변수 '$'에 초기값을 설정 후 객체 생성 및 속성을 설정하고 있음을 확인 가능
JavaScript_2

기존 코드

공백을 이용했기 때문에 초기에는 확인이 되지 않음!!
notepad++ 기준 보기 → 기호보기 → 공백과 탭 보기 선택하여 코드 확인

코드해석

JavaScript_3
난독화 해제, whitespace stenganography
[실습] 악성코드 분석
2024/07/21

1. 개요

1.1 파일정보

1.2 Time table

1.3 사용 도구

정적 분석
pestudio
2일차 과제 (518 악성코드 분석, 최용우)
518, pestudio, sysmon
[실습] 악성코드 분석
2024/07/16
호스트 온리
이거 있어야함
윈도우 ip 설정
쿠쿠 샌드박스 구축
쿠쿠 샌드박스
[실습] 악성코드 분석
2024/07/10
[실습] 보안솔루션 운영
8

개요

보안 솔루션 운영을 위한 가상 통합 보안 인프라를 구축한다.
방화벽 (pfSense), IPS (suricata), WAF (modsecurity) 를 각각 다른 대역을 사용하여 연동하고, 포트포워딩을 통해 최종적으로는 모바일 환경에서 WAF에 접근할 예정이다.

구현환경

구현환경은 아래와 같다

인프라 구성도

가상 통합 보안 인프라 (개요)
[실습] 보안솔루션 운영
2024/06/18

구성환경

사진

어댑터 추가

필요한 대역만큼 어댑터 추가 (VMnet 1~3)
필요한 대역으로 Subnet IP 입력
Host Connection, DHCP 는 체크해제
VMnet8은 NAT 및 Host Connection, DHCP 사용으로 설정
가상 통합 보안 인프라 (환경설정)
어댑터
[실습] 보안솔루션 운영
2024/06/18

VM 추가

1. File - New virtual Machine - Custom

2. install later

3. Other - Other 64-bit

가상 통합 보안 인프라 (pfSense 설치 및 설정)
pfSense
[실습] 보안솔루션 운영
2024/06/18

VM 추가

이번 구성에서는 윈도우 7을 사용한다
Adapter : VMnet1 (10번 대역 사용 예정)

고정 IP 할당

1. 제어판 - 모든 제어판 항목 - 네트워크 및 공유 센터 - 어댑터 설정 변경

가상 통합 보안 인프라 (개발자 PC 설치 및 설정)
[실습] 보안솔루션 운영
2024/06/19

VM 추가

운영체제 (OS) : Ubuntu 20.04 Adapter : VMnet2, VMnet3 (20, 30번대 대역 사용)

고정 IP 할당

아래와 같이 할당
가상 통합 보안 인프라 (suricata 설치 및 설정)
Suricata
[실습] 보안솔루션 운영
2024/06/19

VM 추가

운영체제 (OS) : Ubuntu 20.04 Adapter : VMnet3 (30번대 대역 사용)

고정 IP 할당

아래와 같이 할당
가상 통합 보안 인프라 (modsecurity 설치 및 설정)
ModSecurity
[실습] 보안솔루션 운영
2024/06/19
개발자 PC 에서 WAF까지 접근하기 위해서 게이트웨이 추가 및 라우팅을 진행

1. 게이트웨이 추가

개발자 pc 에서 pfSense 접근 - System - Routing - Add

DMZ 게이트웨이 추가

20번대에서 30번대로 넘어가는 라우팅이 필요
가상 통합 보안 인프라 (각 대역 연동)
대역 연동
[실습] 보안솔루션 운영
2024/06/19

방화벽 해제

포트포워딩을 위해 로컬, 개발자 PC (VM) 의 방화벽을 모두 해제한다 인/아웃바운드 설정을 통하면 방화벽 해제 없이도 실습이 가능하지만 추후 추가 예정

포트포워딩 설정 (로컬)

1. 로컬 포트포워딩 설정

CMD 는 관리자 권한으로 실행

기존 포트포워딩 설정이 있는지 확인

가상 통합 보안 인프라 (포트포워딩)
포트포워딩
[실습] 보안솔루션 운영
2024/06/19
[실습] 네트워크 공격
4
모든 실습은 VM Ware 환경에서 진행됩니다

실습환경

공격자 : kali linux 공격자 IP : 192.168.0.138 공격 대상 : Cent OS 피해자 IP : 192.168.0.135

공격 실행

1) 공격자 PC 에서 터미널 실행

hping3 명령어를 이용하여 UDP 패킷 전송

[대역폭 공격] UDP Flood
UDP Flood, 네트워크 해킹, 대역폭 공격
[실습] 네트워크 공격
2024/05/02
모든 실습은 VM Ware 환경에서 진행됩니다

실습환경

공격자 : kali linux 공격자 IP : 192.168.0.138 공격 대상 : Cent OS 피해자 IP : 192.168.0.135

공격 실행

1) Kali 에서 터미널 실행

hping3 명령어를 이용하여 ICMP 패킷 전송 (ping)

[대역폭 공격] ICMP Flood
ICMP Flood, 네트워크해킹, 대역폭 공격
[실습] 네트워크 공격
2024/05/02
모든 실습은 VM Ware 환경에서 진행됩니다

실습환경

공격자 : kali linux 공격자 IP : 192.168.0.138 공격 대상 : Cent OS 사전 준비 : HTTP 서비스 활성화 (80번 포트 Open) 피해자 IP : 192.168.0.135

공격 실행

1) Kali 에서 터미널 실행

hping3 명령어를 이용하여 SYN 패킷 전송

[자원소진 공격] SYN Flood
SYN Flood, 네트워크 해킹, 자원소진
[실습] 네트워크 공격
2024/05/02
작성예정
[Flooding] ACK Flood 실습
ACK Flood, 네트워크 해킹, 자원소진
[실습] 네트워크 공격
2024/05/02
[실습] 리버스 엔지니어링
6

reverseMe.exe 분석

프로그램 구성

1.
CreateFileA 함수로 dat 파일 읽음
2.
파일이 없을 시 “Evaluation period out of date. Purchase new license” 출력
3.
파일이 있으면 ReadFile 함수로 파일을 읽고, 데이터가 판별식 조건에 참이면 성공
reverseMe.exe 분석
리버싱
[실습] 리버스 엔지니어링
2024/04/19

Time attack.exe Printing flag 획득

프로그램 구성

WINMM.timeSetEvent 를 사용하여 타이머 설정

입력되는 파라미더 = (1388, 0, 00E11000, 0, 0, ECX(0))
각 파라미터 별 의미
Time attack.exe 분석
리버싱
[실습] 리버스 엔지니어링
2024/04/19

for2.exe

전체 직역

어셈블리어 해석

1.
8바이트(2칸) 확보 후 각 칸에 데이터 1씩을 넣음
2.
안에 서 1씩 증가하면서 출력하고 겉에 칸과 같으면 개행 입력
for2.exe 분석
리버싱
[실습] 리버스 엔지니어링
2024/04/18

Calc.exe 분석

전체 직역

어셈블리어 해석

Calc.exe 분석
리버싱
[실습] 리버스 엔지니어링
2024/04/18

if_hard.exe 분석

전체 직역

어셈블리어 해석

1.
scanf()로 입력을 받은 후 EBP-8에 저장
if_hard.exe 분석
리버싱
[실습] 리버스 엔지니어링
2024/04/18

in_out

어셈블리어 전체 직역

1. EBP 값을 스택에 저장

이전 스택 프레임의 ebp 값 저장 (다시 돌아가기 위함)
in_out, in_out2 분석
리버싱
[실습] 리버스 엔지니어링
2024/04/17
[이론] 네트워크 공격 위협
7

네트워크 해킹이 뭘까?

의미

네트워크 상에서 발생되는 해킹을 의미
보안의 기본 요소에 따라 기밀성, 무결성, 가용성의 침해 (Confidentiality, Integrity, Availability)

네트워크 위협 요소

여러 통신 구간에 따라 보안의 3요소에 취약한 여러 위협들이 존재
보안의 3요소 뿐만 아니라 다른요소나 복합적인 요소로 인한 침해사고 발생 가능
네트워크 해킹 개요
네트워크, 네트워크 해킹
[이론] 네트워크 공격 위협
2024/04/30

정의

스캐닝은 네트워크를 통해 제공하고 있는 서비스, 포트, HOST 정보 등을 알아내는 것
TCP 기반의 프로토콜 질의(Request) 응답 (Response) 메커니즘
대표적인 스캔 프로그램으로는 nmap이 있음

목적

열려 있는 포트 확인
제공하는 서비스 확인
네트워크 스캐닝
네트워크, 네트워크 스캐닝, 네트워크 해킹
[이론] 네트워크 공격 위협
2024/04/30

근거리 네트워크 공격이란?

LAN 범위 내에서 수행될 수 있는 공격에 한정하여 2계층에서 이루어지는 공격을 의미

근거리 네트워크 공격 종류

주요 공격

ARP를 이용한 MITM 공격

Man In The Middle 의 약자로 중간자 공격이라 불림
통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작
근거리 네트워크 위협
네트워크, 네트워크 해킹
[이론] 네트워크 공격 위협
2024/04/30

ARP 스푸핑?

근거리 네트워크 (LAN) 환경에서 발생하는 중간자 공격에 사용되는 기술로 활용 IP 에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 속여 공격

ARP 스푸핑을 이용한 MITM 원리

두 단말 간의 통신을 정상 통신으로 속여 자신에게 향하게 만들어 통신하도록 하는 기술
두 단말 간은 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달
공격자는 두 단말간의 통신 내용을 스니핑 또는 스푸핑하여 전달 가능

ARP 스푸핑 공격 과정

ARP 스푸핑?
ARP 스푸핑
[이론] 네트워크 공격 위협
2024/04/30

ARP 스푸핑 공격 실습

실습 환경
VM Ware 가상환경에서의 Cent OS와 그 클론, 그리고 칼리 리눅스로 실습한다
Cent OS : A
클론 : B
칼리 리눅스 : 공격자
각 가상환경 IP
Cent OS : 192.168.0.135
클론 : 192.168.0.139
칼리 리눅스 : 192.168.0.138

0) 공격 준비

지속적으로 패킷을 보내기 위해 터미널을 3개 띄워야한다

1) 공격 코드 실행 (공격자)

ARP 스푸핑 실습
ARP 스푸핑, 네트워크 해킹
[이론] 네트워크 공격 위협
2024/05/01

과거의 DoS 공격

LAND Attack

Local Area Network Decial
출발지와 도착지 IP 주소를 대상 시스템의 주소로 동일하게 만들어 보내는 공격
자기 자신에서 출발한 패킷을 자기 자신에게 다시 보내는 것을반복 (Loop)
현재 대부분의 OS 패치가 적용되어 공격이 적용되지 않음

Smurf 공격

다이렉트 브로드캐스트를 악용한 것으로 공격 대상 IP 주소를 출발지로 하여 브로드 캐스트로 패킷을 보내는 공격
해당 패킷을 받은 각 시스템들은 출발 IP 주소에 응답 패킷을 보내어 응답을 처리해야하는 대상 시스템에 부하를 주는 공격

Ping of Death

DoS의 대표적 공격 예시
일반적으로 ping 패킷은 ICMP을 이용하여 패킷을전송하는 형태로 쓰임
전형적인 ping 전송 패킷은 크기는 56 Byte 또는 헤더를 고려할 시 64 Byte 크기를 가짐
ICMP 의 취약점을 이용하면 패킷 당 64000 Byte가 됨, 패킷 하나만으로 부하를 줄 수 있다
과거의 DoS 공격
DoS, 네트워크 해킹
[이론] 네트워크 공격 위협
2024/05/01
[실습] 모바일 앱 공격 위협
9

프리다(FRIDA) 환경 구축

프리다 : 동적 코드 조작 및 분석 도구로, 안드로이드 애플리케이션 및 다른 소프트웨어를 분석하고 수정하는 데 사용

각 환경 버전

NOX : 6.6.0.0
아나콘다 : 3.11

녹스(NOX)

무료 안드로이드 에뮬레이터
동적 분석 환경 구축
모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/07

개요

adb shell을 사용하여 앱 정보가 저장된 폴더에 접근, 개인정보를 포함하는 파일을 선별 및 추출하여 추가정보 탈취
사용 APP : 피키캐스트

0) 테스트용 계정 회원가입

1) 정보가 취약하게 취급되고 있는지 확인

APP의 계정 관련 정보를 포함한 APP 관련 정보는 data/data/[패키지 명] 안에 저장되기 때문에 해당 폴더 안으로 들어가서 내 정보를 가지고 있는 파일이 있는지 검색해야한다
ADB를 이용한 파일(개인정보) 추출
모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/07

개요

fridump3 툴을 사용하여 메모리를 덤프하고 분석 (중요정보 유무 확인)
덤프(dump)?
일반적인 dump의 뜻은 쓰레기 버리는 곳의 의미지만, IT 에서의 dump 는 어떤 장애가 발생했을 때, 프로그램의 오류 수정이나 데이터의 검사(디버그)를 위해 그 상태 (기억된 내용의 일부 또는 전부)를 기억시킨 내용을 보조기억장치 등 기록 매체에 복사 하는 행위

0) fridump3 다운로드

fridump3 다운로드 검색 → 다운 받고 압축 풀기
실습을 위해선 NOX, frida-server가 실행 중이어야한다 frida-server를 동작시키기 위해 환경 구축 단계에서 frida-server 파일을 저장했던 경로로 이동한다
fridump3 활용 메모리 내 중요 정보 추출
모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/07

툴을 사용하기 위해 자바 설치

설치한 다음 cmd 종료 후 재시작하여 java --version 으로 확인한다

밤비 설치

zip 파일로 만들고 압축 풀기

apktool 이용 앱 디코딩, 리빌딩
모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/08

분석 대상 앱 설치

SmartAppL02.apk

사용한 툴

jadx-1.4.2

1) 어플 실행

어플을 NOX에 설치하여 실행해본다
Key 획득 (jadx 활용 디컴파일)
[실습] 모바일 앱 공격 위협
2024/05/08

0) 실습 준비

어플 설치 후 기본 비밀번호와 핀번호를 설정한다
로그인을 진행하면 Your Passwords 화면을 확인할 수 있고 비밀번호를 저장할 수 있다 (각 서비스별 비밀번호를 저장할 수 있는 프로그램으로 보인다)
Add new Password 화면에서 test용 데이터를 저장한다
정상적으로 등록된 것을 확인
'앱 정보' 에서 어플을 강제 종료 후 다시 실행한다
다시 어플을 실행하면 설정했던 초기 비밀번호를 입력 후 내가 저장했던 데이터를 확인할 수 있도록 설계되어있음을 확인할 수 있다
비밀번호 인증 회피 (Hooking 활용 sieve.apk 공격)
Hooking, 모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/09

0) 실습준비

SmartAppL03.apk 설치
Hooking을 활용하여 키 값을 콘솔에 띄울 예정이다

1) 정적분석 시작 (jasx-gui)

4개의 class 중에 메인으로 보이는 class 를 분석한다
Hooking을 통한 키 값 추출 (FindKey3)
hooking, 모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/10

0) 실습준비

Uncarkable1.apk 설치
rooting 이 감지되어 ok 버튼을 누르면 어플이 꺼져버린다
Hooking을 통해 이 부분부터 회피하도록 한다

1) 정적분석 시작 (jasx-gui)

MainActivity 클래스에서 "Root detected!" 문자열을 포함한 코드를 확인할 수 있었다 if 조건문 만족 시 a() 메소드가 실행 되므로 a() 메소드를 살펴본다
Hooking을 통한 루팅감지 회피, 키 값 추출 (Uncarkable1)
hooking, 모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/10

0) 실습준비

Uncarkable2.apk 설치
루팅 감지 회피는 진행한 상태에서 시작한다

1) 정적분석 시작(jadx-gui)

MainActivity 클래스에서 "Success!" 문자열을 포함한 구문을 확인했다
native 키워드?
Java에서 '네이티브 메소드'를 나타냄
Java가 아닌 다른 프로그래밍 언어, 주로 C나 C++로 작성되어 있으며, Java Native Interface(JNI)를 통해 Java 코드 내에서 호출됨
함수 명명법
Java_<패키지명>\<클래스명>\<함수명> 조건문 만족을 위해서는 a() 메소드의 반환값이 true여야하는데, a() 메소드는 bar() 메소드의 결과를 반환하고 있기 때문에 <span style="color: red">bar() 메소드의 분석이 필요하다</span> 그러나 bar()메소드는 네이티브 메소드이기 때문에 현재 상태에서는 분석이 어렵다

1-1) 정적분석 준비

Hooking을 통한 키 값 추출 (Uncarkable2)
hooking, 모바일, 안드로이드
[실습] 모바일 앱 공격 위협
2024/05/10
[실습] 웹 공격위협
12

사용자 로그인 입력 값에 공격 문자열을 삽입하여 로그인 우회 공격 시도 (’ or 1=1 --)

예상 사용 SQL 문 ”SELECT * FROM Members WHERE user_id = ‘id’ AND passwd = ‘pw’”;
id, pw 입력
id = admin, pw = ‘or 1=1 --
예상 SQL 문 변화 ”SELECT * FROM Members WHERE user_id = ‘admin’ AND passwd = ‘’ or 1=1--’”;
user_id = ‘admin’ AND passwd = ‘’ ⇒ False
1=1 ⇒ True 이기 때문에
user_id = ‘admin’ AND passwd = ‘’ or 1=1 ⇒ FALSE or TRUE ⇒ True 가 나오게 된다
[Error based SQLi] 공격 문자열 삽입
SQLi, Error based SQLi
[실습] 웹 공격위협
2024/04/23

DB 이름 추출 : db_name() 함수 활용

⇒’ and db_name() > 1 --
예상 SQL 문 ”SELECT * FROM ~~ WHERE user_id = ‘id’ and passwd = ‘pw’”
문자열과 int 형을 대소비교하여 오류메시지를 유도한다
예상 SQL 변경 ”SELECT * FROM ~~ WHERE user_id = ‘’ and db_name() > 1 --’ and passwd = ‘pw’”
해당 공격 문자열 입력 (비밀번호는 중요하지않음)
[Error based SQLi] Datebase 이름 추출
SQLi, Error based SQLi
[실습] 웹 공격위협
2024/04/23

Table 이름 추출 : having 함수 활용!

→ having 은 group by() 와 같이 쓰여야 함!

⇒’ having 1=1 --

예상 SQL 문 ”SELECT * FROM ~~ WHERE user_id = ‘id’ and passwd = ‘pw’”
예상 SQL 변경 ”SELECT * FROM ~~ WHERE user_id = ‘’ having 1=1 --’ and passwd = ‘pw’”

(1) 해당 공격 문자열 입력 (비밀번호는 중요하지않음)

⇒ ‘ having 1=1 --

[Error based SQLi] Table, Column 추출
SQLi, Error based SQLi
[실습] 웹 공격위협
2024/04/23

(1) 조회할 Table의 이름 찾기

sysobjects, information_schema.tables
해당 데이터베이스에서 사용하는 Table의 이름을 모아둔 Table
⇒ sysobject 에서 Table 의 이름 Data가 담겨있는 Column : name
⇒ information_schema 에서 Table의 이름 Data가 담겨있는 Column : table_name
syscolumns, information_schema.columns
해당 데이터베이스에서 사용하는 Table의 이름을 모아둔 Table
[Union based SQLi] 실습
SQLi, Union based SQLi
[실습] 웹 공격위협
2024/04/25

⇒ 즉각적, 액션에 대한 리액션이 바로 확인 됨

테스트 코드

어떤 곳이 취약할까?

⇒ 사용자가 입력한 값이 브라우저에 출력될 때 취약점이 존재할 것이라고 유추

공격 문자열 삽입

[Reflected XSS] 실습 (반사형)
Reflected XSS, XSS
[실습] 웹 공격위협
2024/04/25
⇒ 즉각적인 반응은 없음, 대신 악성 스크림트가 저장되어있어 해당 저장된 스크립트에 접근할 때 ⇒ 저장된 HTML 코드가 삭제되기 전까지 계속해서 동작 (다회성) ⇒ 저장되어있는 HTML 코드에 접근하는 일반 사용자를 노림 ⇒ 일반 사용자의 개인정보, 쿠키값, 권한 탈취 등을 시도 ⇒ 일반 사용자(피해자)는 어떤 동작을 했는지 모르는 경우가 다수
ex1) 스크립트 태그를 이용하여 해당 스크립트 태그가 동작했을 때, 장바구니에 물건을 담은 즉시 결제까지 하게끔 할 수 있음
ex2)

공격 문자열 삽입

입력한 스크립트 순차적으로 실행
[Stored XSS] 실습 (저장형)
Stored XSS, XSS
[실습] 웹 공격위협
2024/04/26

Q1. 게시글을 읽었을 때, 새로운 게시글이 작성될 수 있도록 조작

1) test 글 작성 후 Burp 이용하여 request 확인

2) POST 요청의 action 값, parameter 추출

3) 추출한 파라미터 기반 게시물에 HTML 코드 작성

[XSS] 게시글을 읽었을 때, 새로운 게시글이 작성될 수 있도록 조작
XSS
[실습] 웹 공격위협
2024/04/25

1) Q1 과 동일하게 진행

(action, parameter 추출 후 HTML 코드 작성)
단, 댓글의 경우 작성될 게시글의 num 값을 지정해줘야한다
Q1에서 작성했던 success의 num, page 값인 3706, 1 을 지정해서 작성하면 해당 게시글에 댓글 달기 가능
[XSS] 게시글을 읽었을 때, 다른 게시글에 댓글이 달릴 수 있도록 조작
XSS
[실습] 웹 공격위협
2024/04/25

파일 업로드 공격 실습

파일 업로드 시도 실패

(1) 대소문자 우회 시도

실패

(2) 확장자 연장 우회

[파일업로드] 실습
웹, 웹 해킹, 파일업로드
[실습] 웹 공격위협
2024/04/25

첨부 파일의 크기를 매우 작게 제한했을 경우

⇒ one line webshell

⇒ oneline.txt.asp 파일 생성 후 업로드

[파일 업로드] one line webshell
one line webshell, 웹, 웹 해킹, 파일업로드
[실습] 웹 공격위협
2024/04/26

파일 다운로드 시도

1) Burp suite로 요청 잡기

다운 받는 파일은 상관없음

2) Repeater로 요청 보내기

[파일 다운로드] 소스코드 다운
웹, 웹 해킹, 파일 다운로드
[실습] 웹 공격위협
2024/04/26

1) DB 와 연동되는 부분 찾아서 소스코드 다운로드

게시글 작성에서 submit 하면 DB에 들어갈 것이기 때문에 해당 부분 요청 추출
shop_board_write_ok.asp로 전송하는 것 확인

2) 다운로드 취약점 이용하여 해당 소스코드 다운로드 시도

shop_board_write_ok.asp 500 Internal Server Error
[파일 다운로드] DB 접속 정보(ID / PW) 추출
웹, 웹 해킹, 파일 다운로드
[실습] 웹 공격위협
2024/04/26
[이론] 악성코드 분석
3

PDF?

PDF (Portable Document Format) : 이동 가능 문서 형식, 어도비 시스템즈에서 개발
전자 문서 형식으로 일반문서 및 문자, 도형, 그림, 글꼴을 포함할 수 있음

PDF 포맷 구조

PDF 버전 별 Acrobat 버전
Acrobat 6 버전의 경우 모든 버전은 PDF 1.0 으로 되돌릴 수 있음
Acrobat 4 버전의 경우 최신 PDF 버전 1.5를 여는데 문제가 발생할 수도 있음
Acrobat : PDF 파일을 열고, 보고, 인쇄하는 데 사용되는 소프트웨어
일반적인 PDF 파일 구조
PDF 포맷 구조
Objects, Keywords, Data
PDF 구조
PDF
[이론] 악성코드 분석
2024/07/21

JavaScript 분석

스크립트 분석 악성 지표

의심스러운 URLs
명령어 실행
PowerShell.exe 를 이용한 공격 기법 발생
UAC 우회 및 스크립트를 통한 악성 행위
파일 이름
파일명 및 파일에 대한 추가 분석 필요

스크립트 난독화 종류

Formatting (서식변경)

JavaScript
JavaScript
[이론] 악성코드 분석
2024/07/21

MS Office 취약점

Macros 취약점

주로 VBS 스크립트의 취약점

Features (기능) 취약점

Add-on 및 OLE 등 취약점 발생

Scripts

VBA macros
MS Office
Ms Office
[이론] 악성코드 분석
2024/07/21
더보기