악성 문서에 대한 확인방법(PDF,MSDOC)

오랜만에 DOC 매크로 바이러스가 외국에서 출몰하여 분석중에 좋은정보들이 있어서 가져온다~

----------------------------------------------------------------------------------------------------------------

흔히 Compound Document File(CDF) 포맷을 가지는 파일을 분석할 경우 그 동안 MiTeC에서 개발한 Structed Storage View(SSView)를 사용해 왔다. CDF 포맷을 가지는 파일들은 XLS, PPT, DOC(98~2003), HWP 등을 의미한다. 다들 원래 CDF 포맷과는 조금 다르게 자기들만의 방식으로 변경하여 사용하고 있지만 기본적인 내용은 그대로 유지되어 사용된다.

다음은 SSView를 통해 doc 파일의 구조를 살펴본 것이다. 각 파일 포맷의 Storage 별로 내용을 파싱해 보여준다.

최근에 Microsoft에서 OLE 형식의 구조를 살펴 볼 수 있는 OffVis(Office Visualization Tool) 를 발표했다. 얼마전에 MCDF(Microsoft CDF), OOXML(Open Office XML) 문서 포맷에 대해서 각 문서(.doc(x), .xls(x), .ppt(x))별로 백장이 넘는 상세 포맷 문서를 공개한적이 있다. 물론 문서를 살펴보면 생략한 부분이 많이 있지만 그동안 꼭꼭 숨겨왔던 것과는 대조로 공개하기 시작했다.

게다가 해당 문서의 구조를 살펴볼 수 있는 OffVis까지 공개하다니 참 이례적인 일이다. 아마도 자신들의 문서와 관련된 많은 보안문제가 발생하면서 공개하려는 마음을 먹은듯 하다. OffVis의 주 목적은 MCDF 내에 숨길 수 있는 악의적인 스크립트나 데이터들을 확인하기 위한 것이다. 만약 구조를 벗어난 데이터가 삽입되어 있다면 해당 데이터를 쉽게 확인할 수 있다. 다음 자료는 MCDF 포맷에 악의적인 데이터 삽입에 관해 발표된 내용이다.
http://www.blackhat.com/presentations/bh-jp-08/bh-jp-08-Dang/BlackHat-Japan-08-Dang-Office-Attacks.pdf

OffiVis는 다음과 같이 8개의 Office 파일의 취약성을 파싱해준다.

CVE	Product	Bulletin
CVE-2006-0009	PowerPoint	MS06-012 (March 2006)
CVE-2006-0022	PowerPoint	MS06-028 (June 2006)
CVE-2006-2492	Word	MS06-027 (June 2006)
CVE-2006-3434	Word	MS06-062 (October 2006)
CVE-2007-0671	Excel	MS07-015 (February 2007)
CVE-2008-0081	Excel	MS08-014 (March 2008)
CVE-2009-0238	Excel	MS09-009 (April 2009)
CVE-2009-0556	PowerPoint	MS09-017 (May 2009)

 

다음은 OffVis를 통해 위의 SSView에서 확인했던 doc파일을 열어본 것이다.

OffVis는 Office 파일의 취약성을 테스트하기 위해 개발되었지만 SSView보다 더 자세하게 트리 구조로 해당 파일 포맷의 구조를 표현해준다는 점에서 해당 파일을 분석하는데 큰 도움이 된다. 그 동안 각 구조를 HexWorkshop을 통해 일일이 Bookmark 하면서 따라갔던 고생이 한번에 해결된 것이다. 이런 좋은 도구가 좀 일찍 나왔으면 좋았을텐데… ^^

OffVis는 다음의 주소에서 다운받을 수 있다.
http://www.microsoft.com/presspass/press/2009/jul09/07-27BlackHat09PR.mspx

Malicious Document Analysis(by ariesike).pdf