[ISEC 2024 TITLE] 문서형 악성코드

* 개인 연구입니다.

 

문서형 악성코드

코로나 바이러스의 정보인 척 질병관리청의 이름으로 악성코드를 제작하여 유포

전자문서의 확장자 형태(HWP, PDF, DOC 등)으로 존재

사람들 간의 신뢰를 기반으로 대상을 속이는 사회공학 기법을 활용

일반 악성코드와의 차이점

일반 악성코드

실행 가능한 PE(Portable Executable) 파일 형태의 포맷 구조

PE 파일 : 실행 파일 계열(EXE, SCR), 라이브러리 계열(DLL, OCX, CPL, DRV), 드라이버 계열(SYS, VXD), 오브젝트 파일 계열(DBJ)

문서형 악성코드

직접 실행이 불가능한 전자문서(HWP, PDF, DOC) 파일 포맷 구조

파일을 읽기 위한 프로그램 필요

문서 종류를 식별, 형태별로 특정하여 분석해야 하기 때문에 탐지가 까다로움

압축 및 난독화 되어있된 악성 행위 코드가 전자문서 내 오브젝트 형태로 인코딩 되어있어 쉽게 탐지 불가

<그림 1>  바이러스토탈에서 유입된 악성코드의 파일 유형 통계(2021.5)

 

동작 원리

 

ref. https://csrc.kaist.ac.kr/blog/2021/06/15/%EB%AC%B8%EC%84%9C%ED%98%95-%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EB%8A%94-%EB%AC%B4%EC%97%87%EC%9D%B4%EA%B3%A0-%EC%96%B4%EB%96%A0%ED%95%9C-%ED%8A%B9%EC%A7%95%EC%9D%B4-%EC%9E%88%EC%9D%84%EA%B9%8C/

문서형 악성코드는 무엇이고 어떠한 특징이 있을까?