[Forensic] Ultimatum

 

해당 파일을 다운 받으면 다음과 같이 kimsuky_~~~~의 이름을 가진 파일을 확인 하실 수 있습니다.

 

해당 파일의 hex 값을 확인해 확장자가 무엇인지, 어떤 파일인지 확인해 보도록 하겠습니다.

 

 

21 42 44 4E 헤더 시그니처를 확인해 보면 !BDN 으로 Microsoft Outlook File 입니다.

 

리눅스 os의 file 명령으로도 확인해 보겠습니다.

 

.pst 확장자로 변경하고 한번 열어 보았습니다.

저는 SysTools Outlook PST Viewer v5.0 을 이용해서 문제를 해결했습니다.

파일을 열어서 확인해 보면 다음과 같습니다.

 

Attachment를 확인해 보면 Job Application Letter_Lee.hwp 파일이 있는 것을 확인 할 수 있고, 다운로드도 받을 수 있습니다.

 

파일을 열어보면 다음과 같이 잠시 멈춰 있다가 창이 뜹니다.

그래서 화면이 로딩되는 시간에 무언가가 실행되고 있다는 것을 느끼게 되었고, process-explorer를 이용해서 확인해 보기로 했습니다.

 

 

gswin32c.exe 라는 프로세스가 구동되는것을 확인 할 수 있었고, Full Dump를 추출해 보았습니다.

 

hwp 파일 내부에 쉘코드가 있다는 것을 직감했고, hwpscan2를 이용해서 hwp파일을 스캔해 보겠습니다.

 

 

shellcode가 내부에 숨겨져 있는 것을 확인 할 수 있었습니다.

 

해당 코드는 위와 같이 적혀 있었는데 <> 사이에 있는 값이 Hex 값으로 보여서 파일을 만들어 봤습니다.

 

<> 가 2개로 구분되어 있는 것을 확인 할수 있었습니다.

2개의 파일을 만들어서 확인을 해봤는데 두번째, 즉, def... 뒤에 적힌 코드가 shellcode를 확인 할 수 있었습니다.

 

해당 쉘코드를 바탕으로 아까 위에 프로세스로 실행된 gswin32c.exe 프로그램을 실행기때문에 gswin32c.exe dump 파일에 문제에서 원했던 evil's domain name 을 찾을 수 있을 것 같았습니다.

 

 

Flag : sin90.com