'mshta.exe' 태그의 글 목록

mshta.exe (2)

문서 파일내 DDE 기능을 활용한 악성코드

보안 정보/악성코드 분석보고서 malwares.com 2017. 11. 13. 14:47

malwares.com 코드분석팀 분석 자료 1. 개요 2017년 10월 9일 SensePost의 블로그에 흥미로운 글이 게시됐다. 이는 오피스 문서 내 DDE(Dynamic Data Exchange) 기능을 활용해 임의의 코드 실행 관련 글로 매크로와 같은 스크립트를 삽입하는 과정이 상세히 나와있다. 또한 이렇게 악성 동작을 삽입한 스크립트는 안티 바이러스 업체에서 탐지가 불가능하다는 것도 보여주고 있다. 그 동안 Macro와 GhostScript(또는 PostScript) 기능을 이용한 형태에 다른 방식이 추가된 것이다. 문제는 대부분의 안티 바이러스 업체에서 이를 탐지하지 못하기 때문에 바이러스 진단에 있어 보안에 적신호가 켜진 것이다. 해당 글이 공개된 이후 연일 관련 뉴스들이 쏟아지고 있으며 그..

CVE-2017-8759 : WSDL 파서 코드 인젝션

보안 정보/악성코드 관련 정보 malwares.com 2017. 9. 25. 16:56

malwares.com 코드분석팀 분석 자료 1. 개요 최근 CVE-2017-8759로 명명된 제로데이 취약점의 POC가 공개되었고 핀피셔(FinFisher)는 해당 취약점을 이용해 RTF(Rich Text Format) 문서를 작성했고, 이 파일을 통해서 감시소프트웨어 Finspy 를 러시아어 사용자들을 감염시키기도 하였다. 또한 해당 취약점은 많은 악성코드 제작자들이 사용하고 있고, .NET framework의 대부분 버전에서 발생하기 때문에 매우 크리티컬한 취약점이다.분석을 통해 해당 취약점이 왜 동작하고, 어떻게 동작하는지 알아보고 현재 어떻게 패치되었는지 알아보자. ※ 참고 : 분석 정보에 나오는 "vuln.kr" 과 "hack.kr"은 내부 분석을 위해 사용된 분석가 도메인으로 악성 도메인은 ..

1

Sidebar

malwares.com

“malwares.com” 은 한국 최초의 빅데이터 기반 악성코드 자동 분석 플랫폼입니다. 국내외 다양한 수집 채널로부터 유입된 악성코드를 자동으로 분석하고 분석된 결과를 공유하여 악성코드 유포 정황을 빠르게 인지하고 크게 확산되는 것을 방지하여 각종 악성코드로 부터의 공격에 능동적으로 대처하기 위해서 만들어진 인텔리전스 서비스입니다.

Copyright © malwares.com Official Blog All Rights Reserved

Designed by JB FACTORY

티스토리툴바