정보보안/Spear-Phishing
2023. 8. 30.
[Spear-Phishing] Malicious HWP Document Object Analysis
1. HWP Architecture HWP 3.X 버전의 시그니처 "48 57 50 20 44 6f 63 75" HWP 5.0 버전의 시그니처 "d0 cf 11 e0 a1 b1 1a e1" 5.0의 경우 OLE(Object Linking and Embedding)파일 기반 여러 개의 스토리지와 데이터 스트림으로 구성 2. OLE Based HWP Analysis 우선 버전을 확인하기 위해 시그니처를 살펴보면, 아래와 같이 5.0버전인 것을 알 수 있다. 이후 Oledump를 이용해 파일을 확인하고 png파일부터 OLE파일까지 모두 추출해줬다. 우선 추출된 파일들의 경우 한글 문서의 파일이므로 zlib을 통해 압축되어있을 것이다. 이를 decompress해줘야 정상적인 png파일의 시그니처도 살아날 것이다..
![[Spear-Phishing] Malicious HWP Document Object Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FZnj1S%2FbtssAF2GWOs%2FAAAAAAAAAAAAAAAAAAAAAL0wcaqstT-jBm89bQihpkW3DfOI95TvVj6m3F1LvdmZ%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1753973999%26allow_ip%3D%26allow_referer%3D%26signature%3DKuL2Dli%252BPxTHM3bAeD%252FVezvodJA%253D)