1. 드랍퍼 분석하기
- 드랍퍼 실제파일 확인
- 2021화햇기출
- 공격메일 -> html파일 코드 탐색 -> hwp 실제파일 확인
- 2021화햇기출
- 한글 악성코드 분석
- BinData부분부터 확인 -> eps파일 분석
(보통 악성 한글파일은 eps파일 분석으로 의미있는 데이터 획득가능) - 2021화햇기출 (SSView 사용)
- BinData에서 eps파일 확인
-> 우클릭 -> save stream으로 stream파일 추출
-> zlib 압축해제 -> PostScript 확인 - 플래그 해석
-> AES128-CBC 알고리즘 복호화 -> Base64 디코딩- AES128-CBC 알고리즘 복호화 사이트 : https://encode-decode.com/aes128-encrypt-online/
https://www.devglan.com/online-tools/aes-encryption-decryption - Base64 디코딩 사이트 : https://www.base64decode.org/ko/
- AES128-CBC 알고리즘 복호화 사이트 : https://encode-decode.com/aes128-encrypt-online/
- BinData에서 eps파일 확인
- BinData부분부터 확인 -> eps파일 분석
-
결과
-
html파일 코드에서 실제파일 드랍퍼 확인 -> 3분기-취약점-조치권고.hwp
-
3분기-취약점-조치권고.hwp 분석
- SSView로 hwp 분석 -> BinData-BIN0001.eps 확인 -> BIN0001.eps.stream 확인 -> zlib을 파이썬 코드로 압축해제 -> PostScript 확인
- SSView로 hwp 분석 -> BinData-BIN0001.eps 확인 -> BIN0001.eps.stream 확인 -> zlib을 파이썬 코드로 압축해제 -> PostScript 확인
-
flag 분석
- AES128 Decrypt 사이트에서 키 0123456789012345로 복호화 -> base64 디코딩
-
FLAG
FLAG{hwp파일에서 찾은 플래그 분석값}
=> FLAG{_S0metimes_hW9_do_M4lic1ous_Th1n9s_}
