HwpScan2
아래아한글 취약점 점검 도구
HwpScan2는 각종 한글(HWP) 문서 파일의 취약점을 점검할 수 있는 솔루션으로, 한글(HWP) 파일 포맷 내부의 정보 분석 기술을 기반으로 한글 파일내의 악성코드 삽입, 취약점 존재 유무등을 분석할 수 있습니다.
주요 특징
한글 포맷 문서 구조 분석
OLE 파일 구조(Storage, Stream) 확인
Stream의 Hex 내용 확인 및 추출
압축된 OLE Stream 압축 해제 지원
문서 내부 저장된 이미지 Viewer 기능
문서 내부 자바 스크립트 Viewer 기능
문서 내부 Tag 정보 확인
한글 포맷(5.x, 3.x)문서 취약점 진단
Exploit.HWP.Generic.XX (TagID 오류)
Exploit.HWP.Generic.SC (쉘코드 포함)
Trojan.PS.Agent (PS를 이용한 악성 Dropper 공격)
JS.Heuristic (새로운 JavaScript 포함)
Exploit.HWP.Heuristic (압축을 이용한 쉘코드 추가)
Exploit.RTF.Heurisitc (알려지지 않은 RTF 취약점 추가)
Exploit.RTF.CVE-2010-3333
Exploit.RTF.CVE-2014-1761
악성코드 검사 기능
VirusTotal.com 연동 악성코드 검사
Malwares.com 연동 악성코드 검사
DocInfo에 대한 악성코드 검사
부가 기능
난독화된 자바스크립트를 Format Code로 변환
HwpSummaryInformation 정보 출력
DocInfo의 TagID 추적
PrvText 텍스트 출력
FileHeader 정보 출력
Shell Code 검사 플러그인 Add-On
본문 내용 텍스트 파일로 변환
사용 환경
분류
최소사양
운영체제
Windows XP SP3 이상
CPU
Intel Core 1.5 GHz 이상
메모리
2GB 이상
하드 디스크
5GB 이상 여유공간
분류
권장사양
운영체제
Windows XP SP3 이상
CPU
Intel Core i3 2.9 GHz 이상
메모리
4GB 이상
하드 디스크
10GB 이상 여유공간
한글 취약점 진단 사례
전체 한글 문서의 내부 Stream 취약점 검사
Exploit.HWP.Generic.43 (비정상적인 문단 Text)
JS.Heuristic (숨겨진 자바스크립트를 가진 형태)
EXE 파일을 가진 형태 (주요 윈도우 API 발견_CreateFile)