음...네... 이건 좀 더 그럴싸하네요
그런데 발송일시가 미래입니다
DOC도 아니군요 사실 진짜 DOC나 XLS로 날아오면 CDR엔진에 리버스분석을 하려고 했는데
오는 것 마다 그냥 EXE라서 맥빠집니다(...)
커뮤니티 게시판
:
아주 기본적인 네티켓만 지킨다면 자유롭게 쓸 수 있는 커뮤니티 게시판입니다. 포럼에서 다루는 주제는 각각의 포럼 게시판을 우선 이용해 주시고, 민감한 소재는 비공개 게시판이나 수상한 게시판에, 홍보는 홍보/외부 사용기 게시판에 써 주세요. 질문은 포럼 게시판의 질문/토론 카테고리를 사용해 주세요.
잡담
2019.04.04 09:08
전자팩스를 가장한 랜섬웨어입니다
-
?
보안 쪽으로 굇수이시네요...
-
제가 개발한 건 아니고, 제가다니는 회사가 영업하는 기업솔루션중에
CDR이라고 문서 무해화 솔루션이 있어요
즉 매크로나 첨부에 악성코드가 들어있는 DOC나 HWP나 XLS같은 잘 알려진 문서들을 분해한 뒤,
이것들이 진짜 문제없는 올바른 오피스파일인가 한글파일인가로 접근해서 무해성을 분석해주는 솔루션입니다.
이 방식의 장점은, 새로운 문서포맷이 나오지 않는 한(10년전의 XLSX나 PPTX같은)
업데이트 없이 오프라인 환경에서 악성코드 및 바이러스 검출 및 치료가 가능하다는 장점이 있습니다.
군부대같은데서 환영할 방식이죠
대신 아쉬운 점은, exe같은 파일에는 써먹을 수가 없어요
즉, 기존 안티바이러스는 업데이트패턴에 대응해서 접근하는 반면에,
이 CDR이라는 솔루션은 문서 자체가 자신이 갖고있는 확장자에대한 무결성이 있는가를 검사하기 떄문에,
일반적으로 랜섬걸리는 파일(즉, 문서,그림,도면파일)들 대다수를 검사하고 무해화 할 수 있어요.
(랜섬걸린 파일을 치료한다는 의미는 아닙니다) -
?
앗 그런 원리였군요.
확장자마다 그 확장자에 맞는 고유한 형식이 있을테니 그걸로 무결성 검사를 하나 보군요. 감사합니다! -
hwp, doc, xls, ppt와 같은 파일들은 공통적으로 모두 OLE라는 형식으로 되어 있습니다. 이 파일 포맷은 MS에서 개발한 것으로, 그 자체가 하나의 작은 하드 드라이브와 유사한 구조(구체적으로는 FAT계열 포맷과 유사)를 내부적으로 가지고 있죠. 워드프로세서 문서에 그림 파일을 삽입할 수 있는 것도 이 덕분입니다. 그래서 문서 파일의 내부 구성요소를 하나하나 분해할 수가 있고, 이 중 순수하게 문서 내용을 나타내는 것이 아니라 컴퓨터에서 실행이 가능한 부분(대개는 악성코드)만 따로 적출하는 것이 가능합니다. “무해화”란 그렇게 문서에서 악성코드를 떼어낸다는 것이죠. 물론 올바른 OLE 포맷이 아닐 경우 그냥 악성코드 그 자체로 판단하여 차단해버리면 되는 것이고요. -
하나 배워갑니다.
감사합니다. -
카토메구미
2019.04.04 09:45
주시면 뜯어서 분석을 ..ㅎ -
아예 기업체 메일 계정을 노리고 날아오더라고요. 리포팅해서 스팸 처리들 하고 있는데 간간히 걸러서 들어오는 것들 굳이 열어서 실행하는 분들 보면 참... -
몇가지 실험해보고 싶은게 있는데 아직 지우지 않으셨다면 해당 파일 공유 부탁 가능할까요?
wsts5336 네이버입니다 -
전세계가 공조해서 이런 걸 적발해 잡아야 하지 않나 생각이 드는데 어렵네요 -
저도 랜섬웨어 파일 받아보고싶어요 근데 관련 스팸메일이 하나도 안날라오네여 흑흑
작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.
| 번호 | 분류 | 제목 | 글쓴이 | 날짜 | 조회 수 |
|---|---|---|---|---|---|
| 80212 | 퍼온글 |
대중교통 소식 모음 (도로교통법 시행령 개정 외 2)
2 
|
 임시닉네임 | 2023.12.14 | 1007 |
| 80211 | 잡담 | 이 노래 제목이 뭔가요? 9 | 임시닉네임 | 2023.12.14 | 539 |
| 80210 | 잡담 |
뭔가 가득 들은 슈톨렌
12
|
가우스군 | 2023.12.14 | 594 |
| 80209 | 퍼온글 | 외계 문명은 어떤 모습일까? 카르다쇼프 척도 5 | 타미타키 | 2023.12.14 | 780 |
| 80208 | 잡담 |
국내 첫 wifi7 공유기
29
|
 AZUSA | 2023.12.14 | 1179 |
| 80207 | 퍼온글 |
아아.. 원가절감 할 것이 가득해..
14
|
911 | 2023.12.14 | 1039 |
| 80206 | 잡담 |
지유켄 방문
6
|
까르르 | 2023.12.14 | 406 |
| 80205 | 잡담 |
속에서 멜트다운이 일어날 거 같은 마파두부
8
|
 유니 | 2023.12.14 | 691 |
| 80204 | 방구차 |
슬슬 사과를 하지 않은면 죽는다!
1
|
ExpBox | 2023.12.14 | 558 |
| 80203 | 퍼온글 |
2018년 네이버 카페 에디터 HTML 편집 기능 제외 ...
9
|
임시닉네임 | 2023.12.14 | 917 |
| 80202 | 방구차 |
사과문
8
|
Marigold | 2023.12.14 | 579 |
| 80201 | 퍼온글 |
증권맨과 사귀니까 계좌가 달라졌다는 사람
4
|
고자되기 | 2023.12.14 | 1006 |
| 80200 | 잡담 |
빅 - 도마
20
|
포도맛계란 | 2023.12.14 | 445 |
| 80199 | 잡담 | 죄송합니다. 진심으로 사과드립니다. 25 | veritas | 2023.12.14 | 977 |
| 80198 | 잡담 | 요즘 새삼 느끼는 점 15 | 급식단 | 2023.12.14 | 429 |
| 80197 | 퍼온글 | '환불 대란' 머지포인트 운영자 실형 확정 4 | 임시닉네임 | 2023.12.14 | 955 |
| 80196 | 잡담 |
도마... 도마를 샀는데.....
22
|
포도맛계란 | 2023.12.14 | 512 |
| 80195 | 잡담 | 중앙대 랜섬은 결국 조작 판명이군요 ㅋㅋ 11 | 카토메구미 | 2023.12.14 | 1048 |
| 80194 | 잡담 | 7800x3d 오우너가 되었습니다 6 |  바보괭이 | 2023.12.14 | 581 |
| 80193 | 잡담 |
붕어빵의 가격
8
|
유니 | 2023.12.14 | 609 |
| 80192 | 잡담 |
쿠팡은 어떤 곳일까?
6
|
 아즈텍 | 2023.12.14 | 771 |
| 80191 | 잡담 |
3R 신상 쿨러를 봤는데...
1
|
360Ghz | 2023.12.14 | 611 |
| 80190 | 잡담 | 요즘 날씨 싫어요. 14 | AKG-3 | 2023.12.13 | 506 |
| 80189 | 잡담 | 서큘레이터 고르기 어렵군요... 18 | 포도맛계란 | 2023.12.13 | 484 |
| 80188 | 잡담 | 우마무스메 접습니다. 14 | 까르르 | 2023.12.13 | 675 |
| 80187 | 방구차 |
7-zip 방구차
6
|
센트레아 | 2023.12.13 | 295 |
| 80186 | 잡담 | 요즘에 묘하게 보는 쇼츠 영상 유튜브채널 2 | celinger | 2023.12.13 | 531 |
| 80185 | 잡담 | 그만..;;;;하겠습니다. 2 | 이플 | 2023.12.13 | 624 |
| 80184 | 잡담 |
뺀찌 사용기
11
|
Ι337 | 2023.12.13 | 549 |
| 80183 | 잡담 |
mp3목록중 미수록된 노래들
18
|
 스와마망 | 2023.12.13 | 417 |
