문서형 악성코드 이해

문서파일구조안에 들어있는 스크립트로인해 문서열람시 악성코드가 실행되어 감염되는 악성코드.

 

SSVIEW툴을 활용하여 HWP 파일의 문서구조를 볼수있다.

Bindata - 문서에서 사용하는 스트림 데이터

BodyText -  한글 본문 내용

 

한글이나 워드 문서등은 저장될때 압축되기때문에 데이터를 볼려면 따로 압축을 해제하여야 함.

한글파일은 zlib으로 압축되어있으므로 압축해제하면 다음과 같이 스크립트 코드를 볼수있다.

 

한글- postscript

워드 - vba script 

등 스크립트 코드가 문서안에 포함되어 특정 악성행위를 수행하게 된다.