맬웨어 식별 훈련 :: 악성파일의 구성요소
이 포스팅은 KISA 아카데미(실전형 사이버훈련장) 에서 진행되는[중급]멜웨어 식별 훈련 교육 과정을 수료한 후 공부한 내용을 정리한 글입니다.
스피어피싱
: 특정 조직이나 개인을 대상으로 하는 피싱 공격으로, 악성 문서·링크 첨부하는 방식
피해자는 신뢰할 만한 출처에서 온 메일이라고 믿고 악성 파일을 열게 된다
스피어 피싱 메일 첨부 파일의 종류
- MS office
- PDF
- HWP
- RTF
- ZIP 등 압축
파일을 열람하면 내장된 악성 객체(쉘코드, 스크립트, exploit, 실행파일)가 실행된다
악성문서파일의 구성요소
1. Exploit: 문서 파일을 처리하는 sw(ms office, pdf reader)의 비정상 동작을 유발하고 임의 코드를 강제실행하는 문서 내 데이터→ 의도치 않은 동작 실행하는 데이터, 패킷, sw.
2. Shellcode(Payload): 취약한 sw 메모리 상에서 임의로 실행되는 머신 코드 혹은 명령어, 취약한 sw 메모리에서 쉘코드를 실행하는 것은 공격자의 첫번쨰 목표! 시스템 제어권을 얻기 위한 도구
3. 스크립트/매크로: 악성 문서를 열람할때 오피스 프로그램에 의해 직접 실행되는 스크립트. MS Office에서는 VBA 매크로 사용
4. 실행파일: 악성 문서 파일 내 암호화된 형태로 내장되어 있다가 스크립트, 쉘 코드에 의해 복호화된 후 실행됨. 시스템에 직접적인 해를 끼치는 최종 페이로드가 될 수 있음
취약한 프로그램의 경우 api, 라이브러리 등 필요한 다른 데이터가 같이 링킹될때
악성 문서 파일이나 문서 파일의 쉘코드가 같이 실행될 수 있음
분석·탐지에서 중요한 요소
익스플로잇은 공격자의 목적 실현을 위한 도구일 뿐 행위 목적을 표현하지 않기때문에,
악성 파일 내에 있는 스크립트/매크로/쉘 코드를 식별하고 분석하는 것이 유용함.
(시스템에 생성되는 파일, 조작되는 리소스 등)