악성의심문서의 구조 분석 및 재구성

서울대학교프로젝트제안서2016-09-02

Contents

1. 회사소개

2, 관련 보안동향

II. 방역기술 소개

1. 프로젝트 주제

VB스크립트를 이용한 공격 사례

2. 프로젝트 수행일정

I. 개요

III. 악성코드 감염 사례

SHIELDEX 방역기능

IV. 프로젝트 소개

© 2015 Softcamp.Co.,Ltd. All Right Reserved

┃회사소개

I. 개요

3

전자문서 암호화를 통한기업정보유출 방지 솔루션

외부유입파일 관리 솔루션(문서 컨텐츠 방역 기능)

개인정보유출방지를 위한키보드 암호화 솔루션

산업기밀정보와 대량의 고객DB 보호를 위한 가상화 솔루션

소프트캠프의 정보유출 위험으로부터 기업의 정보자산을 지켜주는 보안 전문 기업입니다. 15년 이상의 검증된 기술력, R&D 기술 인력이

70% 이상인 기술위주 경영, 일본 ALS社 및 치에루 등과 전략적인 제휴를 통해 안정적인 해외사업을 운영하고 있습니다.

회 사 명 소프트캠프㈜

설립년도 1999년 7월

대표이사 배 환 국

임직원 수 179명 (R&D 인력 68%)

소 재 지 서울시 강남구 테헤란로 8길 37

일반기업 금융기관 공공분야

현대자동차그룹, 신세계그룹, SK그룹, 한화그룹, LG그룹, KT, KT네트웍스, KTDS, KT스카이라이프, 이랜드, GS칼텍스, LS니꼬동제련, 대림산업, 코오롱, 쌍용자동차, 현대중공업, 대한제강, 한일시멘트, 현대시멘트, 동희오토, 대원강업, 롯데케미칼, 쿠팡…

하나금융그룹, KB금융지주, 신한금융지주, 푸르덴셜생명보험, 푸르덴셜투자증권, 미래에셋생명보험, 미래에셋증권, 대한생명, 현대카드캐피탈커머셜, 현대라이프생명보험, HMC투자증권, SK증권, 아주캐피탈, 새마을금고중앙회, 한화손해보험, 한화증권, 동양종합금융증권, 리드코프, 파랑새상호저축은행…

국군복지단, 국방정보본부, 우정사업본부, 한국전력기술, 지식경제부, KBS, 경찰청, 한국남동발전, 한국동서발전, 대통령실, 인천국제공항공사, 한국철도공사, 축산물품질평가원, 국민건강보험공단, 한국산업은행, 대한송유관공사, 국가안보전략연구소, 서울시 농수산물공사, 파주시청, 군포시청, 한국수력원자력…

www.softcamp.co.krhttp://blog.softcamp.co.kr/

© 2015 Softcamp.Co.,Ltd. All Right Reserved

┃보안동향 –문서형태의악성코드증가

4

I. 개요

2016년 상반기는 Lechiffre, Locky, PETYA, CryptXXX 등 매월 새로운 형태의 신,변종 랜섬웨어가 꾸준히 출현하였으며, 이메일 첨부파일, 웹사

이트 베너, 불법 TV다시보기 무료사이트 등이 주요 유포경로로 활용되었습니다.

1. 악성매크로가 첨부된 이메일• 업무관련 내용으로 위장• 문서파일을 압축하여 첨부• 악성매크로가 포함된 문서파일

2. 첨부파일 오픈 시, 악성코드 다운로드 및 실행

© 2015 Softcamp.Co.,Ltd. All Right Reserved

┃SHIELDEX 방역기능

5

II. 방역기술 소개

대상 문서의 포맷 확인

확장자 및 헤더 구조 검사

문단, 도형, 그림, 표 등모든 문서 구성요소들의구조 검증

문서 구성요소 추출

올바른 구성요소인지 검증

의심 컨텐츠 체크/제거(Macro, Scripts, Embedded Objects, … )

추출된 구성 요소로 문서 재구성

Contents Structure

일반문서 –구조와컨텐츠가매치됨Contents Structure

악성문서 –구조와컨텐츠가매치되지않음

VS

문서 방역 엔진은 문서파일이 일반적인 문서형태를 갖추고 있는지 확인하고, 일반적인 문서인 경우 컨텐츠까지 확인하여 안전한 컨텐츠만 재

구성하는 역할을 수행합니다.

악성컨텐츠

일반컨텐츠

Binary dataBinary data 일반컨텐츠

© 2015 Softcamp.Co.,Ltd. All Right Reserved

문서 방역 엔진은 Macro, Scripts, Embedded Objects, … 등의 의심 컨텐츠를 체크하고 제거합니다. 매크로의 경우 매크로 구문

분석 기능을 통해 정상/악성 매크로를 체크하고 악성 매크로를 제거합니다.

┃SHIELDEX 방역기능

6

주요 기능

Sanitization

의심컨텐츠제거기능

Malicious macro 제거 기능 ActiveX Scripts 제거 기능 Embedded Objects 제거 기능

1. Backdoor 드롭 Macro 삽입2. 정상/악성매크로체크3. 악성매크로제거

1. Backdoor 드롭 Active X 삽입2. 의심 ActiveX Scripts 체크3. ActiveX Scripts 제거

1. 버퍼오퍼플로우실행 Objects 삽입2. 의심 Objects 체크3. Objects 제거

© 2015 Softcamp.Co.,Ltd. All Right Reserved

┃VB스크립트를이용한공격사례

7

VB 스크립트를이용한공격

윈도우공용컨트롤취약점을악용하여, 문서열람시특정웹사이트로접속하게만드는취약점. (CVE-2012-0158)

문서열람시 VB스크립트가동작하며, 특정파일을 disk에떨어뜨려작동하게함

2. 공격 유형

VB스크립트를 이용한 공격

© 2015 Softcamp.Co.,Ltd. All Right Reserved

┃프로젝트주제

8

III. 프로젝트 소개

프로젝트 주제명 악성의심문서의 구조 분석 및 재구성

프로젝트 내용

오픈소스 문서변환 라이브러리를 활용한 악성의심문서 분석

1단계 : 오픈소스 문서변환 라이브러리 리서치 및 CVE 취약점 문서 리서치

2단계 : 오픈소스 문서변환 라이브러리를 이용한 악성의심문서 컨텐츠 추출

3단계 : 컨텐츠 재구성

필요지식프로그래밍 언어( C++ or C#)

문서구조의 기본적인 이해

교육/훈련 효과 문서구조의 이해, 악성코드의 이해

Sanitization_Process.exe

- 파일포맷확인- 방역모듈호출

MS_MODULE.dll

HWP_MODULE.dll

PDF_MODULE.dll

JPG_MODULE.dll

File ControlLibrary

- 악성의심문서의컨텐츠재구성

┃목표시스템

Input(Raw File)

Output(Re-constructed

File)

© 2015 Softcamp.Co.,Ltd. All Right Reserved

┃프로젝트계획

III. 프로젝트 소개

9

※ 상기 일정은 사내 개발 로드맵에 따라 변경 될 수 있습니다.

상세 내용9월 10월 11월 12월

1주 2주 3주 4주 1주 2주 3주 4주 5주 1주 2주 3주 4주 1주 2주 3주

팀구성

문서 변환 라이브러리 리서치CVE 취약점 문서 리서치

악성의심문서 구조 분석

악성코드 탐지 기능 개발

[중간 발표]중간고사

악성코드 제거 후 문서재구성

제품 적용기말고사

[최종 발표]

감사합니다

ⓒ 1999-2014 SoftCamp Co., LtdAll rights reserved. No part of this work covered by the copyright hereon may be reproduced or used in any form or by any means -- graphic, electronic, or mechanical, including photocopying, recording, taping, or information storage and retrieval systems -- without written permission of SoftCamp Co., Ltd, Inc., SoftCamp, the traditional SoftCamp Logo, “SoftCamp Co., Ltd, Inc.,” “Document Security,” “S-Work,” “MaxeOn,” “S-Work for Storage,” “SHIELDEX,” “Secure Workplace,” and “Secure Keystroke” are trademarks of SoftCamp Co., Ltd. All other trademarks mentioned herein are the property of their owners.Printed in the Republic of Korea

The information herein is for informational purposes only and represents the current view of SOFTCAMP Co,. Ltd. as of the date of this presentation. Because SOFTCAMP must respond to changing market conditions, it should not be interpreted to be a commitment on the part of SOFTCAMP, and SOFTCAMP cannot guarantee the accuracy of any information provided after the date of this presentation.

For More Information⁻ Tel: +82-2-3420-0518⁻ Fax: +82-2-3453-3033⁻ Mail: VL@softcamp.co.kr⁻ 5F Han-Dong Bldg., 37 Teheran-ro 8-gil, Gangnam-Gu, Seoul, Korea, 135-935