정보보안/Spear-Phishing
2023. 8. 30.
[Spear-Phishing] Malicious HWPX Document Analysis
1. HWPX OWPML 기반 (Open Word - Processor Markup Language) HWPML (Hangul Word-Processor Markup Language) 사용 HWP가 바이너리 파일 포맷이면, HWPX는 XML기반 개방형 파일 포맷이다. ZIP파일과 동일하다. (시그니처) 기존 HWP는 Postscript가 삽입되어 GhostScript를 익스플로잇했다면 HWPX는 HWP 프로세스에 의해 XML을 통해 악성코드를 실행하므로, XML에 Payload가 저장되어있다. eps파일이 없으므로 xml파일을 식별해야한다. 2. XML Analysis and ShellCode Analysis 준비된 XML의 주요 부분은 다음과 같다. color 정보는 gradation 버퍼에 저장되는데..
![[Spear-Phishing] Malicious HWPX Document Analysis](http://i1.daumcdn.net/thumb/C450x300/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FbeQVvR%2FbtssqyXtMNI%2FAAAAAAAAAAAAAAAAAAAAAJcy-UxvMho-1XThcr42WVC9NOPdikYLNFGivVT4NfvN%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1756652399%26allow_ip%3D%26allow_referer%3D%26signature%3D53fztTHyZVgTVT1mqN9yKTIDASU%253D)