-
- MS OFFICE 문서
- PDF 문서
- HWP 문서
- RTF 문서
- 압축 파일
- 소프트웨어 취약점을 공격하여 파일에 내제된 객체(쉘 코드, 스크립트, Exploit, 실행 파일 등)를 강제로 실행
- 공격자가 피해자들에게 기대하는 행위는 이러한 첨부파일을 열람하는 것
- 문서 파일을 처리하는 소프트웨어의 비정상 동작을 유발하고 임의 코드를 강제로 실행 하도록 유도하는 문서내의 데이터
- 의도치 않은 동작을 유발한느 데이터, 패킷, 소프트웨어
- 메모리 상에서 임의로 실행되는 머신 코드 혹은 명령어를 의미
- 취약한 소프트웨어의 메모리 공간에서 쉘코드를 실행하는 것이 공격자의 첫번째 목표
- 악성 문서를 열람할 때 오피스 프로그램에 의해 직접 실행되는 VB, 포스트, 자바 스크립트 등을 의미
- 일반적으로 악성 문서 파일 내에 암호화된 형태로 내장되어 있음
- 암호화가 안되어 있을 경우 보호 프로그램에 의해 탐지 가능
- 스크립트 혹은 쉘코드에 의해 복호화된 후 실행됨
- 프로그램이 실행되면 실행 파일이 매핑이되고 관련된 라이브러리들이 로딩
- 이러한 라이브러리 안에는 API들이 정의되어 있음
- 실행 파일은 이러한 함수들을 호출하고 결과를 반환 받은 뒤 결과를 이용하여 할일 수행
- 취약한 프로그램들은 다른 악성 프로그램(프로세스)에 의해 쉘코드라는 악성 개체가 주입 가능
- 또는 악성 문서 내에 내제된 쉘코드가 로딩되며 메모리에 매핑되고 임의로 실행 가능
- 익스플로잇은 공격자가 공격 대상 시스템에서 수행하고자 하는 행위의 목적을 표현하지 않음
- 침해사고 대응 관점에서는 악성 파일 내에 있는 매크로/스크립트, 쉘코드를 빠르게 식별하는 것이 공격자의 시스템 상 행위의 목적을 파악하는데 용이함