티스토리 뷰

[Malware analysis] KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(CVE-2017-8291)


참조 
[보고서] 한글 파일에 숨어든 '고스트'
 > https://asec.ahnlab.com/1239

EPS 파일을 이용한 악성 한글 HWP 문서

> 링크 


CVE-2017-8291

Cve-2017-8291 취약점은 그래픽 파일을 제공하기 위해 만들어진 EPS 파일을 이용한 취약점으로 EPS 포스트스크립트를 이용한다.




.Eps 내부 포스트스크립트 확인#1

(그림 1)을 살펴보면  KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp의 .eps를 보여주는 걸 알 수 있다.

그림 1 – .eps   

(그림 2)을 XOR 연산을 진행하는 걸 확인 할 수 있다.

그림 2 – XOR 디코딩 연산

(그림 3)은 xor 연산을 진행 후 또 16#00 XOR 연산에 대한 포스트스크립트를 확인 할 수 있다.

그림 3 – XOR 디코딩 연산  

<> 을 살펴보면 첫 부분의 1byte는 55로 PUSH EBP라는 것을 알 수 있으며, 쉘코드로 추정할 수 있다.

 

그림 4 – 쉘코드

gsdll32.dll을 이용하여 디버깅을 할 수 있는데 .hwp을 실행하게 되면 Gsdll32.dll 로드를 통해 gbb.exe 동작하는 것을 확인 할 수 있다.

즉, "gbb.exe" EPS 인터프리터를 Attach 해야된다. 상세분석은 블로그에 추후 올리겠다.

> https://jeongzzang.com/142


gbb.exe - 한글과컴퓨터 제공 포스트스크립트 인터프리터, gsdll32.dll 로드해서 동작

gsdll32.dll - 고스트스크립트 인터프리터 핵심 라이브러리

gswin32.exe - 고스트스크립트 인터프리터 GUI 버전, gsdll32.dll 로드해서 동작

gswin32c.exe - 고스트스크립트 인터프리터 커맨드 버전, gsdll32.dll 로드해서 동작



댓글
댓글쓰기 폼
공지사항
«   2020/10   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
Total
157,970
Today
10