파일 명 구조 Hash (SHA1) 남북정책토론회 .pdf ffe39eb91e0247fb13bd8fd8152f61a3 *IOC : 침해사고 대응 현황 및 침해 지표 분석할 pdf 파일을 열어보면, 이전 문서들과 같이 외부적으로는 별 다른 점이 없으며 일반 파일과 동일한 형태를 띄고 있는 것을 알 수 있다. 대상 파일이 어떤 구조를 가지고 있는지 확인하기 위해 pdfid 명령어를 사용했다. pdfid 명령어로 해당 파일을 확인해보았을 때, 정상적인 파일과 달리 내부에 Javascript가 2개 저장 되어있고 악의적인 수행을 할 것이라고 예측할 수 있다. 해당 pdf 파일을 PDFStreamDumper 도구를 사용해서 분석해보았다. 400개 가까이 되는 오브젝트 파일 중에 악의적인 동작을 할 것으로 예상되는..
파일 명 구조 Hash (SHA1) 사이버공격 대응 방법 안내 .doc eeefb9c419d40bf7c11fff25871381c8ae2bbe0c *IOC : 침해사고 대응 현황 및 침해 지표 문서를 실행해보니 위와 같은 문서가 출력되었다. 문서가 보호되었다며 ‘콘텐츠 사용’ 버튼을 누르길 유도하고 있다. 이을 누르게 되면 내장된 악성 매크로가 동작하여 사용자의 PC에 악성코드를 감염시켜 악성 행위가 동작한다. 분석을 위해 ‘편집 사용’ → ‘콘텐츠 사용’ 버튼을 눌러 보았더니, 별다른 반응이 일어나지 않았다. 일반 사용자라면 자신이 악성행위에 감염되었는지 전혀 몰랐을 것이다. 컴퓨터 내부에서 어떤 행위가 벌어지고 있는지 매크로를 통해 분석해 볼 것이다. 워드 프로그램 내에서 편집 기능을 사용하여 매크로에..
파일 명 구조 Hash (SHA1) 한미우호협회 .hwp f2e936ff1977d123809d167a2a51cdeb *IOC : 침해사고 대응 현황 및 침해 지표 분석할 HWP 문서는 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 2019년 2월 27- 28일 베트남 하노이에서 가졌던 2차 북미 정상회담 결과에 대한 특별 좌담회 문서파일이다. 실행 된 문서를 살펴보면 여느 한글 파일과 다름이 없다는 것을 알 수 있다. 어떤 프로세스가 동작 되는지 확인하기 위해 Process Explorer 도구를 사용해 확인한 결과, [그림 2]와 같은 프로세스를 확인할 수 있었다. [그림 2] 좌측 프로세스가 먼저 나타나고 이후에 우측 프로세스가 나타난다. 여기서 3~5초 정도가 지나니 [그림 3]처럼 동작하던..
