표제지
목차
약어표 8
논문요약 9
제1장 서론 10
제2장 이론적 배경 12
제1절 한글 악성코드 12
1. 한글 파일 포맷 구조 12
2. 악성코드 유포 과정 15
3. 악성코드 동작 원리 16
제2절 퍼징 기법 19
1. 퍼징이란 19
2. 퍼징의 과정 19
3. 퍼징의 종류 21
제3절 공격 기법 22
1. 힙 스프레이 22
2. 리턴 지향 프로그래밍 24
제3장 한글 취약점 점검 27
제1절 HWP 문서 파일 덤 퍼징 27
1. 실험 개요 27
2. 실험 결과 28
제2절 취약점 공격 29
1. 크래시 로그 분석 29
2. 임의 코드 실행 34
제4장 HncAppShield 보호 모듈 37
제1절 HncAppShield 란 37
1. HncAppShield 개요 37
2. HncAppShield 원리 38
제2절 HncAppShield 취약점 38
1. HncAppShield 취약점 분석 38
2. HncAppShield 우회 40
3. 연구 결과 45
제5장 결론 46
참고문헌 47
ABSTRACT 49
[표 3-1] 실험 환경 27
[표 3-2] 퍼징 결과 28
[그림 2-1] HWP v5.0 파일 구조 요약 13
[그림 2-2] HwpScan2 14
[그림 2-3] 스피어 피싱 이메일 16
[그림 2-4] 한글 악성 문서 실행 17
[그림 2-5] 악성코드 감염 18
[그림 2-6] 뮤테이션 퍼저 동작 원리 20
[그림 2-7] 퍼징의 분류 22
[그림 2-8] 힙 스프레이 동작 원리 23
[그림 2-9] 압축 저장 전/후 크기 비교 24
[그림 2-10] ROP 체인 25
[그림 3-1] 크래시 로그 29
[그림 3-2] 변조된 바이트 비교 30
[그림 3-3] 크래시 발생 시점 31
[그림 3-4] 바이트 변조 31
[그림 3-5] 레지스터 변조 32
[그림 3-6] 취약한 함수 호출 33
[그림 3-7] 취약점 트리거 33
[그림 3-8] 변조 값 공식 34
[그림 3-9] 변조 공식 대입 35
[그림 3-10] 프로그램 흐름 변경 35
[그림 3-11] 계산기 실행 36
[그림 4-1] HncAppShield 정보 37
[그림 4-2] 문서 보안 설정 38
[그림 4-3] HncAppShield Export Table 39
[그림 4-4] HncAppShield 함수 호출 구조 39
[그림 4-5] 디버거 출력 로그 40
[그림 4-6] 이미지 쉘 코드 생성 파이썬 코드 41
[그림 4-7] 이미지 힙 스프레이 결과 43
[그림 4-8] 이미지 힙 스프레이 내 쉘 코드 43
[그림 4-9] 이미지 힙 스프레이 내 ROP 가젯 44
[그림 4-10] HncAppShield 우회 및 계산기 실행 45