KR102494838B1 - MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치 - Google Patents

MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치 Download PDF

Info

Publication number
KR102494838B1
KR102494838B1 KR1020220135068A KR20220135068A KR102494838B1 KR 102494838 B1 KR102494838 B1 KR 102494838B1 KR 1020220135068 A KR1020220135068 A KR 1020220135068A KR 20220135068 A KR20220135068 A KR 20220135068A KR 102494838 B1 KR102494838 B1 KR 102494838B1
Authority
KR
South Korea
Prior art keywords
record
value
field
property
vthyperlinks
Prior art date
Application number
KR1020220135068A
Other languages
English (en)
Inventor
이재영
Original Assignee
시큐레터 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시큐레터 주식회사 filed Critical 시큐레터 주식회사
Priority to KR1020220135068A priority Critical patent/KR102494838B1/ko
Application granted granted Critical
Publication of KR102494838B1 publication Critical patent/KR102494838B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 명세서는 서버가 DocumentSummaryInformation 스트림의 링크정보를 무해화(Disarming) 시키는 방법에 있어서, 상기 DocumentSummaryInformation 스트림에서 PropertySetStream 레코드를 확인하고, 상기 PropertySetStream 레코드의 NumPropertySets의 필드값을 확인하며, 상기 NumPropertySets의 필드값이 2를 나타내는 것에 근거하여, FMTID0 및 FMTID1의 필드값이 정당한지 판단하고, 상기 FMTID0 및 상기 FMTID1의 필드값이 정당한 것에 근거하여, VtHyperlinks 레코드를 확인하며, 상기 VtHyperlinks 레코드에 근거하여, 상기 링크정보를 무해화 할 수 있다.

Description

MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치 {METHODS AND APPARATUS FOR DISARMING A LINK ON DOCUMENTSUMMARYINFORMATION STREAM IN MS-CFB}
본 명세서는 MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치에 관한 것이다.
지능형 지속 위협(Advanced Persistent Threat, APT) 공격은 공격자가 특정 타깃을 정하고 목표한 정보를 빼내기 위해 고도의 공격기법을 적용하여 지속적으로 다양한 형태의 악성 코드를 활용한다. 특히 APT 공격은 초기 침입단계에서 탐지하지 못하는 경우가 많으며, 실행(Portable Executable, PE) 파일보다는 악성 코드를 포함하는 비실행(Non-Portable Executable, Non-PE) 파일을 이용하는 경우가 많다.
비실행 파일은 실행 파일과 반대되는 개념으로써, 자체적으로 실행되지 않는 파일을 의미한다. 비실행 파일로는 워드 파일, 엑셀 파일, 한글 파일, PDF 파일 등의 문서 파일, 이미지 파일, 동영상 파일, 자바스크립트 파일, 및 HTML 파일을 예로 들 수 있다. APT 공격에 악성 코드가 포함된 비실행 파일이 많이 이용되는 이유는 비실행 파일을 실행하는 응용 프로그램이 기본적으로 어느 정도의 보안 취약성을 가지고 있기 때문이다. 뿐만 아니라, 악성 코드를 비실행 파일에 포함시키면 파일을 변경하여 변종 악성 코드를 손쉽게 만들 수 있기 때문이다.
문서 행위란 비실행 파일이 관련된 응용 프로그램의 액션을 실행하는 행위이다. 기존의 APT 솔루션들은 문서 행위 기반으로 동작하기 때문에 문서 행위 발생 후, 샌드박스(Virtural Machine, VM)의 변화를 관찰하여 악성 여부를 판단한다. 이는 문서 행위의 발현을 전부 기다린 후 악성 여부를 파악하기 때문에 분석시간이 오래 걸린다.
또한, CDR과 같은 기존 APT 솔루션들은 악성 액티브 콘텐츠를 제거할 수는 있지만, 문서의 필수 요소(예를 들어, 본문, 폰트)에서 발생하는 취약점을 제거할 수는 없기 때문에 보안 공백이 발생한다.
비실행 파일에는 유해한 링크 정보가 포함될 가능성이 있기 때문에, 링크 정보를 무해화하여야 한다. 이 경우에는 비실행 파일의 레이아웃이 바뀌거나 틀어지는 문제가 발생하지 않아야 한다.
본 명세서의 목적은, MS-CFB의 DocumentSummaryInformation 스트림에서 Link를 무해화 하기 위한 방법을 제안한다.
본 명세서가 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 이하의 명세서의 상세한 설명으로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서의 일 양상은, 서버가 DocumentSummaryInformation 스트림의 링크정보를 무해화(Disarming) 시키는 방법에 있어서, 상기 DocumentSummaryInformation 스트림에서 PropertySetStream 레코드를 확인하는 단계; 상기 PropertySetStream 레코드의 NumPropertySets의 필드값을 확인하는 단계; 상기 NumPropertySets의 필드값이 2를 나타내는 것에 근거하여, FMTID0 및 FMTID1의 필드값이 정당한지 판단하는 단계; 상기 FMTID0 및 상기 FMTID1의 필드값이 정당한 것에 근거하여, VtHyperlinks 레코드를 확인하는 단계; 및 상기 VtHyperlinks 레코드에 근거하여, 상기 링크정보를 무해화하는 단계; 를 포함할 수 있다.
또한, 상기 FMTID0 및 상기 FMTID1의 필드값이 정당한지 판단하는 단계는 상기 FMTID0 필드값은 D5CDD502-2E9C-101B-9397-08002B2CF9AE 값이고, 상기 FMTID1 필드값은 D5CDD505-2E9C-101B-9397-08002B2CF9AE 값인 것에 근거할 수 있다.
또한, 상기 VtHyperlinks 레코드를 확인하는 단계는 CodePage Property에서 Dictionary Property와 관련된 인코딩 정보를 확인하는 단계; 및 상기 인코딩 정보에 근거하여, 상기 Dictionary Property에서 문자열 “_PID_HLINKS”를 확인하는 단계; 를 포함할 수 있다.
또한, 상기 “_PID_HLINKS”의 확인에 근거하여, 상기 VtHyperlinks 레코드는 TypedPropertyValue에 포함될 수 있다.
또한, 상기 링크정보를 무해화하는 단계는 상기 VtHyperlinks 레코드의 vtValue 필드를 통해, VtHyperlinkValue 레코드를 확인하는 단계; 상기 VtHyperlinkValue 레코드의 vecHyperlink의 rgHyperlink 필드를 통해, VtHyperlink의 배열을 확인하는 단계; 및 상기 VtHyperlink 레코드의 hlink1 및 hlink2 필드에 대해 무해화하는 단계;를 포함할 수 있다.
또한, 상기 hlink1 및 hlink2 필드에 대해 무해화하는 단계는 상기 hlink1 및 hlink2 필드에서 scheme만 남기는 단계; 를 포함할 수 있다.
또한, 무해화된 상기 링크정보에 근거하여, dwHash 필드를 수정하는 단계; 를 포함할 수 있다.
본 명세서의 또 다른 일 양상은, DocumentSummaryInformation 스트림의 링크정보를 무해화(Disarming) 시키는 서버에 있어서, 통신부; 메모리; 및 상기 통신부 및 상기 메모리를 기능적으로 제어하는 프로세서;를 포함하고, 상기 프로세서는 상기 DocumentSummaryInformation 스트림에서 PropertySetStream 레코드를 확인하고, 상기 PropertySetStream 레코드의 NumPropertySets의 필드값을 확인하며, 상기 NumPropertySets의 필드값이 2를 나타내는 것에 근거하여, FMTID0 및 FMTID1의 필드값이 정당한지 판단하고, 상기 FMTID0 및 상기 FMTID1의 필드값이 정당한 것에 근거하여, VtHyperlinks 레코드를 확인하고, 상기 VtHyperlinks 레코드에 근거하여, 상기 링크정보를 무해화 할 수 있다.
본 명세서의 실시예에 따르면, MS-CFB의 DocumentSummaryInformation 스트림에서 Link를 무해화를 수행할 수 있다.
본 명세서에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 명세서와 관련된 서버 또는 클라이언트를 나타내는 도면이다.
도 2는 본 명세서에 적용될 수 있는 비정상 입력의 예시이다.
도 3은 본 명세서가 적용될 수 있는 URI 구성을 예시한다.
도 4는 본 명세서가 적용될 수 있는 DocumentSummaryInformation 스트림의 무해화 방법을 예시한다.
도 5는 본 명세서가 적용될 수 있는 PropertySet의 예시이다.
도 6은 본 명세서가 적용될 수 있는 PropertySetStream의 예시이다.
도 7은 본 명세서가 적용될 수 있는 DocumentSummaryInformation 스트림의 예시이다.
도 8은 본 명세서가 적용될 수 있는 VtHyperlinks의 예시이다.
도 9는 본 명세서가 적용될 수 있는 VtHyperlink의 예시이다.
본 명세서에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 명세서에 대한 실시예를 제공하고, 상세한 설명과 함께 본 명세서의 기술적 특징을 설명한다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 명세서의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 명세서에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 명세서에서 사용되는 "부"라는 용어는 소프트웨어 또는 하드웨어 구성요소를 의미하며, "부"는 어떤 역할들을 수행한다. 그렇지만 "부"는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. "부"는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 "부"는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 "부"들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 "부"들로 결합되거나 추가적인 구성요소들과 "부"들로 더 분리될 수 있다.
또한, 본 명세서의 일 실시예에 따르면 "부"는 프로세서 및 메모리로 구현될 수 있다. 용어 "프로세서"는 범용 프로세서, 중앙 처리 장치 (CPU), 마이크로프로세서, 디지털 신호 프로세서 (DSP), 제어기, 마이크로제어기, 상태 머신 등을 포함하도록 넓게 해석되어야 한다. 몇몇 환경에서는, "프로세서"는 주문형 반도체 (ASIC), 프로그램가능 로직 디바이스 (PLD), 필드 프로그램가능 게이트 어레이 (FPGA) 등을 지칭할 수도 있다. 용어 "프로세서"는, 예를 들어, DSP 와 마이크로프로세서의 조합, 복수의 마이크로프로세서들의 조합, DSP 코어와 결합한 하나 이상의 마이크로프로세서들의 조합, 또는 임의의 다른 그러한 구성들의 조합과 같은 처리 디바이스들의 조합을 지칭할 수도 있다.
용어 "메모리"는 전자 정보를 저장 가능한 임의의 전자 컴포넌트를 포함하도록 넓게 해석되어야 한다. 용어 메모리는 임의 액세스 메모리 (RAM), 판독-전용 메모리 (ROM), 비-휘발성 임의 액세스 메모리 (NVRAM), 프로그램가능 판독-전용 메모리 (PROM), 소거-프로그램가능 판독 전용 메모리 (EPROM), 전기적으로 소거가능 PROM (EEPROM), 플래쉬 메모리, 자기 또는 광학 데이터 저장장치, 레지스터들 등과 같은 프로세서-판독가능 매체의 다양한 유형들을 지칭할 수도 있다. 프로세서가 메모리로부터 정보를 판독하고/하거나 메모리에 정보를 기록할 수 있다면 메모리는 프로세서와 전자 통신 상태에 있다고 불린다. 프로세서에 집적된 메모리는 프로세서와 전자 통신 상태에 있다.
본 명세서에서 사용되는 "비실행 파일"이란 실행 파일 또는 실행 가능한 파일과 반대되는 개념으로서 자체적으로 실행되지 않는 파일을 의미한다. 예를 들어, 비실행 파일은 PDF 파일, 한글 파일, 워드 파일과 같은 문서 파일, JPG 파일과 같은 이미지 파일, 동영상 파일, 자바 스크립트 파일, HTML 파일 등이 될 수 있으나, 이에 한정되지 않는다.
아래에서는 첨부한 도면을 참고하여 실시예에 대하여 본 명세서가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분들은 생략될 수 있다.
도 1은 본 명세서와 관련된 서버 또는 클라이언트를 나타내는 도면이다.
본 명세서에서 서버(또는 클라우드 서버) 또는 클라이언트는 제어부(100) 및 통신부(130)를 포함할 수 있다. 제어부(100)는 프로세서(110) 및 메모리(120)를 포함할 수 있다. 프로세서(110)는 메모리(120)에 저장된 명령어들을 수행할 수 있다. 프로세서(110)는 통신부(130)를 제어할 수 있다.
프로세서(110)는 메모리(120)에 저장된 명령어에 기초하여 서버 또는 클라이언트의 동작을 제어할 수 있다. 서버 또는 클라이언트는 하나의 프로세서를 포함할 수 있고, 복수의 프로세서를 포함할 수 있다. 서버 또는 클라이언트가 복수의 프로세서를 포함하는 경우, 복수의 프로세서 중 적어도 일부는 물리적으로 이격된 거리에 위치할 수 있다. 또한, 서버 또는 클라이언트는 이에 한정되지 않고 알려진 다양한 방식으로 구현될 수 있다.
통신부(130)는, 서버 또는 클라이언트와 무선 통신 시스템 사이, 서버 또는 클라이언트와 다른 서버 또는 클라이언트 사이, 또는 서버 또는 클라이언트와 외부서버 사이의 무선 통신을 가능하게 하는 하나 이상의 모듈을 포함할 수 있다. 또한, 통신부(110)는, 서버 또는 클라이언트를 하나 이상의 네트워크에 연결하는 하나 이상의 모듈을 포함할 수 있다.
제어부(100)는 메모리(120)에 저장된 응용 프로그램을 구동하기 위하여, 서버 또는 클라이언트의 구성요소들 중 적어도 일부를 제어할 수 있다. 나아가, 제어부(100)는 상기 응용 프로그램의 구동을 위하여, 서버 또는 클라이언트에 포함된 구성요소들 중 적어도 둘 이상을 서로 조합하여 동작 시킬 수 있다.
본 명세서에서 서버는 리버싱 엔진 또는/및 CDR 서비스를 제공하는 CDR 엔진을 포함할 수 있다.
리버싱(Reversing) 엔진
리버싱 엔진이란, 악성 비실행 파일에 대한 리버스 엔지니어링(리버싱) 과정을 자동화 한 분석/진단 엔진이다.
예를 들어, 리버싱 엔진은 다음의 단계를 수행할 수 있다.
1. 파일 분석: 비실행 파일 자체의 외관(예를 들어, 속성, 작성자, 작성 날짜, 파일 타입)을 분석하는 단계로서, 일반 백신 프로그램과 유사하게 비실행 파일 자체의 정보만으로 악성여부를 진단할 수 있다.
2. 정적 분석: 비실행 파일 내의 데이터를 추출, 분석해서 정상, 악성 여부를 판별하는 단계로서, 비실행 파일은 실행하지 않고 파일 구조에 맞게 내부 데이터를 추출하여 비교 분석하여 악성여부를 진단할 수 있다. 이는 매크로, URL 추출 분석 등에 적합할 수 있다.
3. 동적 분석: 비실행 파일을 편집기, 리더기가 포함된 응용프로그램을 통해 읽어들이고 모니터링하면서 행위를 분석하여 악성 여부를 판별하는 단계로서, 매크로, 하이퍼링크, DDE 등 정상기능을 이용한 악성 행위를 탐지하기에 용이하다.
4. 디버깅 분석: 비실행 파일을 읽어들이고 디버깅하여 취약점, 익스플로잇 등을 분석하는 단계로서, 매크로, 하이퍼링크, DDE를 포함하여 문서 내 본문, 표, 폰트, 그림 등을 이용한 응용프로그램의 취약점을 탐지하기에 적합하다.
리버싱 엔진은 디버깅 분석에 사용될 수 있는 디버깅 엔진을 포함할 수 있다. 디버깅 엔진은 비실행 파일의 열람 과정을 디버깅하여 문서 입력, 처리, 출력단계에서 발생하는 취약점을 진단할 수 있다. 여기서 취약점이란, 응용프로그램이 응용프로그램의 개발자가 개발한 코드(로직)에서 예상하지 못한 값을 입력 받았을 때, 발생하는 오류, 버그 등을 이용하는 것으로서, 공격자는 취약점을 통해 비정상 종료로 인한 서비스 거부, 원격 코드 실행 등의 악성 행위를 실행할 수 있다.
CDR(Contents Disarm and Reconstruction)
CDR 서비스는 비실행 파일을 분해해 악성파일 혹은 불필요한 파일을 제거하고 콘텐츠는 원본과 최대한 동일하게 하여, 새로운 파일을 만드는 솔루션이다.
즉, Contents Disarm and Reconstruction(CDR)은 문서 내의 컨텐츠를 무해화(Disarm)하고 재조합(Reconstruction)하여 안전한 문서를 만들어 고객에게 제공하는 서비스를 의미하며, 무해화 대상 파일은 비실행 파일 일체(예를 들어, 워드, 엑셀, 파워포인트, 한글, PDF)를 대상으로 할 수 있으며, 무해화 대상 컨텐츠는 액티브 컨텐츠(예를 들어, 매크로, 하이퍼링크, OLE 객체 등)일 수 있다.
도 2는 본 명세서에 적용될 수 있는 비정상 입력의 예시이다.
도 2를 참조하면, 응용프로그램은 비실행 파일을 통해, 비정상적인 값(예를 들어, 입력값이 정상범위인 2를 초과하는 경우)을 입력 받는 경우, 개발자가 의도하지 않은 실행흐름으로 변경되어 취약점이 동작될 수 있다. 디버깅 엔진은 문서 열람 과정을 자동 디버깅하여 취약점과 관련된 특정 지점에 브레이크 포인트를 설정하고 입력값과 관련된 특정값을 확인하여 입력값이 취약점을 일으키는 값인지 아닌지 판별하여 악성 여부를 진단할 수 있다.
보다 자세하게, 디버깅 엔진은 비실행 파일을 확인하고 이를 열람하기 위한 응용프로그램을 실행하여 디버깅을 시작할 수 있다. 비실행 파일을 열람하는 과정에서 모듈이 로드되면, 디버깅 엔진은 해당 모듈이 분석 대상 모듈인지 확인하고, 분석 대상이라면 지정된 주소에 브레이크 포인트를 설정할 수 있다.
예를 들어, 악성 비실행 파일은 응용프로그램의 버전이나 운영체제 환경 등의 특정 조건이 만족하지 않으면 응용프로그램을 종료하거나 아무런 악성 행위가 발생하지 않는 흐름으로 분기하는 분기 지점들을 가질 수 있다. 서버는 사전에 분석가에 의해 분석되어 이러한 가능성을 가지는 분기 지점에 브레이크 포인트를 설정할 수 있다.
또한, 서버는 해당 분기 지점과 연관되어, 응용프로그램을 종료하지 않고 계속 실행하거나 악성 행위가 발생할 수 있는 흐름으로 유도할 수 있는 조건들을 설정할 수 있다.
응용프로그램의 프로세스 실행 중 해당 브레이크 포인트 지점에서 프로세스가 멈춘 경우, 서버는 탐지 로직에 따라 취약점 여부를 탐지한 후, 결과를 분석 리포트에 저장하는 단계를 수행할 수 있다.
서버에 포함된 자동화 리버싱 엔진은 전술한 단계들을 자동으로 수행하면서 분석하여 분석가가 연구, 개발한 진단 알고리즘을 통해, 악성 비실행 파일을 진단하고 차단할 수 있다.
도 3은 본 명세서가 적용될 수 있는 URI 구성을 예시한다.
도 3을 참조하면, 본 명세서에서 무해화 대상이 되는 링크정보인 URI(Uniform Resource Identifier)를 예시한다.
일반적으로 URI 구문(syntax)은 scheme, authority, path, query, 및 fragment를 포함할 수 있다.
표 1은 본 명세서가 적용될 수 있는 URI 구문의 계층적 시퀀스의 예시이다.
URI = scheme ":" hier-part [ "?" query ] [ "#" fragment ]

hier-part = "//" authority path-abempty
/ path-absolute
/ path-rootless
/ path-empty
예를 들어, URI 구문은 다음의 표 1과 같은 계층적 시퀀스로 구성될 수 있다.도 3 및 표 1을 참조하면, URI에서 “/”와 관련된 규칙은 다음과 같을 수 있다.
(1) When authority is present, the path must either be empty or begin with a slash ("/") character.
(2) When authority is not present, the path cannot begin with two slash characters ("//").
따라서, URI 에서는 authority의 존재 여부에 따라, path와 관련된 “/”의 개수가 정해질 수 있다. 예를 들어, 서버는 “/”를 통해, authority를 판단할 수 있다.
만일, 무해화 작업을 통해, URI를 모두 제거하면, 오피스 문서에서 링크 표시가 사라지는 경우가 생겨 무해화 결과물이 원본과 레이아웃이 달라질 수가 있다. 이러한 문제가 발생하지 않게 하기 위해, 본 명세서에서는 링크 정보를 무해화하는 방안으로 scheme 부터 슬래시(“/”)까지만 남기도록 할 수 있다.
이를 통해 무해화 대상이 되는 문서는 레이아웃을 유지할 수 있고, 사용자는 기존 링크 정보가 어떤 형태(예: http, file, mailto 등)였는지를 직관적으로 인식할 수 있게 한다.
표 2는 본 명세서가 적용될 수 있는 무해화 결과의 예시이다.
원본 무해화 결과
foo://example.com:8042/over/there?name=ferret#nose foo://
urn:example:animal:ferret:nose urn:
https//seculetter.com https://
mailto:anesin@seculleter.com mailto:
도 4는 본 명세서가 적용될 수 있는 DocumentSummaryInformation 스트림의 무해화 방법을 예시한다.
도 4를 참조하면, 서버의 DocumentSummaryInformation 스트림 무해화 방법을 예시한다.
CFB 계열의 파일에 대해 압축을 해제하면, 디렉토리와 파일 구조를 확인할 수 있다. 이 때 디렉토리 형태를 스토리지(storage), 파일 형태를 스트림(stream)이라고 한다.
예를 들어, DOC, PPT, XLS 포맷들은 DocumentSummaryInformation 스트림을 포함할 수 있다.
DocumentSummaryInformation 스트림은 문서에 대한 메타정보를 포함할 수 있다. 따라서, 사용자는 DocumentSummaryInformation 스트림의 메타정보를 확인할 수도, 확인하지 못할 수도 있다. DocumentSummaryInformation 스트림에도 링크정보가 포함될 수 있으므로, 이에 대한 무해화 작업이 요구된다.
서버는 DocumentSummaryInformation 스트림에서 PropertySetStream 레코드를 확인한다(S4010). 예를 들어, 서버는 비실행 파일의 포맷이 CFB 계열인 경우, DocumentSummaryInformation 스트림에서 순차 검색을 통해, PropertySetStream 레코드를 확인할 수 있다. 보다 자세하게, DocumentSummaryInformation 스트림은 PropertySetStream 레코드를 포함할 수 있다.
관련하여, 본 명세서에 적용될 수 있는 명세(Spec)는 다음과 같다.
[MS-OLEPS]: Object Linking and Embedding (OLE) Property Set Data Structures
(https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-oleps/bf7aeae8-c47a-4939-9f45-700158dac3bc)
1. Introduction
이 문서는 일반적으로 단순 타입 메타데이터를 파일과 연결하는 데 사용되는 속성들의(properties) 셋에 대한 generic persistence format 인 Object Linking and Embedding (OLE) Property Set Data Structures (OLEPS)를 지정한다. 응용 프로그램이 메타데이터를 다른 소프트웨어에서 검색할 수 있도록 하기 위해, 잘 알려진 게시 포맷 또는 응용 프로그램 정의 포맷 중 하나의 property set format을 선택하고, 이 포맷에 지정된 속성을 포함하는 property set을 작성한다. Compound File Binary File Format (자세한 내용은 [MS-CFB] 참조) 또는 특정 파일 시스템의 대체 사용자 데이터 스트림 기능과 같이 단일 물리적 파일에서 여러 가상 스트림을 지원하는 기술과 결합하면, 하나 이상의 property set을 파일과 연결할 수 있다. 이를 통해 응용 프로그램은 파일 포맷의 응용 프로그램별 부분 파싱(parsing)을 지원하지 않는 소프트웨어에서 파일의 속성을 검색할 수 있다.
2. Structures
2.19 PropertyIdentifierAndOffset
PropertyIdentifierAndOffset 패킷은 PropertySet 패킷에서 property identifier와 property의 바이트 오프셋을 나타내는 데 사용된다.
PropertyIdentifierAndOffset 패킷은 다음의 필드를 포함할 수 있다 :
PropertyIdentifier (4 bytes): property set에 있는 property 의 속성 식별자를 나타내는 부호 없는 정수이다. 올바른 PropertyIdentifier 값이어야 한다.
Offset (4 bytes): PropertySet 패킷의 시작 부분부터 표시된 속성에 대한 Property field의 시작 부분까지의 오프셋(바이트)을 나타내는 부호 없는 정수이다. 4바이트의 배수여야 한다.
즉, PropertyIdentifier 에서는 다음에 나올 Property 에 대한 식별자 (PropertyIdentifier)가 포함되어 있다. 또한, Offset 은 PropertySet 시작 주소를 기준으로 한 값이 된다.
2.20 PropertySet
PropertySet packet은 property set을 나타낸다.
도 5는 본 명세서가 적용될 수 있는 PropertySet의 예시이다.
도 5를 참조하면, PropertySet packet은 다음의 필드를 포함할 수 있다 :
Size (4 bytes): PropertySet 패킷의 총 크기(바이트)여야 한다.
NumProperties (4 bytes): property set의 속성 수를 나타내는 부호 없는 정수이다.
PropertyIdentifierAndOffset 0 (variable): 모든 PropertyIdentifierAndOffset 필드는 PropertyIdentifierAndOffset 패킷의 시퀀스여야 한다. 이 시퀀스는 Offset 필드의 값이 증가하는 순서여야 한다. 패킷들은 PropertyIdentifier 필드의 값과 관련하여 특정 순서를 필요로 하지 않는다.
Property 0 (variable): 각 Property field는 속성 값의 시퀀스이며, 각 속성 값은 Dictionary 속성이 특수한 경우 TypePropertyValue 패킷 또는 Dictionary 패킷으로 표현되어야 한다.
2.21 PropertySetStream
PropertySetStream 패킷은 simple property sets에 대한 스트림 포맷과 Non-Simple Property Set Storage Format의 CONTENTS 스트림에 대한 스트림 포맷을 지정한다. simple property set은 PropertySetStream 패킷을 포함하는 스트림으로 표시되어야 한다.
PropertySetStream 패킷은 일반적으로 정확히 하나의 property set을 나타내지만 historical 이유로, DocumentSummaryInfo 및 UserDefinedProperties property sets이 동일한 스트림에 표시될 수 있다. 이 특별한 경우 PropertySetStream은 두 개의 property sets을 나타낼 수 있다.
implementation에서는 PropertySetStream 패킷의 총 크기에 대한 제한을 적용해야 한다. 이러한 제한은 최소 262,144바이트여야 하며 최대 상호 운용성을 위해 2,097,152바이트여야 한다.
도 6은 본 명세서가 적용될 수 있는 PropertySetStream의 예시이다.
도 6을 참조하면, PropertySetStream packet은 다음의 필드를 포함할 수 있다 :
ByteOrder (2 bytes): MUST be set to 0xFFFE.
Version (2 bytes): property set (or property sets)의 버전 번호를 나타내는 부호 없는 정수. MUST be 0x0000 or 0x0001.
SystemIdentifier (4 bytes): 어플리케이션에 이 값을 보고하는 경우를 제외하고 무시해야 하는 implementation 관련 값.
CLSID (16 bytes): property set (or property sets)과 관련된 CLSID를 나타내는 GUID(패킷 버전) 패킷이어야 합니다.
NumPropertySets (4 bytes): 이 PropertySetStream 구조로 표시되는 property sets의 수를 나타내는 부호 없는 정수. 0x00000001 또는 0x00000002여야 한다.
표 3은 NumPropertySets 값의 예시이다.
Figure 112022110313760-pat00001
FMTID0 (16 bytes): PropertySet 0 필드가 나타내는 property set의 FMTID로 설정해야 하는 GUID. NumPropertySets의 값이 0x00000002이면, 이 GUID를 FMTID_DocSummaryInformation ({D5CDD502-2E9C-101B-9397-08002B2CF9AE})로 설정해야 한다.
Offset0 (4 bytes): 이 PropertySetStream 구조의 시작에서 PropertySet 0 필드의 시작까지 바이트 단위로 오프셋으로 설정해야 하는 부호 없는 정수.
FMTID1 (16 bytes): NumPropertySets의 값이 0x00000002이면 FMTID_UserDefinedProperties({D5CDD505-2E9C-101B-9397-08002B2CF9AE})로 설정해야 한다. 그렇지 않으면, 존재하지 않음.
Offset1 (4 bytes): NumPropertySets의 값이 0x00000002인 경우 이 PropertySetStream 구조의 시작에서 PropertySet 1 필드 시작까지의 바이트 단위의 오프셋으로 설정해야 한다. 그렇지 않으면, 존재하지 않음.
PropertySet0 (variable): PropertySet packet이어야 한다.
PropertySet1 (variable): NumPropertySets의 값이 0x00000002이면 PropertySet 패킷이어야 한다. 그렇지 않으면, 존재하지 않음.
Padding (variable): implementation에 의해 추가된 추가 패딩을 포함한다. 패딩이 있는 경우 패딩은 0이어야 하며 무시되어야 한다.
2.23 Property Set Stream and Storage Names
property set을 나타내는 스트림 또는 스토리지는 스토리지의 element일 수 있다. 예를 들어 compound file의 property set 스트림 또는 스토리지에 대한 표준 바인딩은 각각 파일의 루트 스토리지의 element여야 한다. 이 섹션에서는 property set의 FMTID와 property set을 나타내는 스트림 또는 스토리지 element의 이름 사이의 표준 매핑을 지정하여 이러한 방식으로 저장된 property set을 검색할 수 있도록 한다.
OLEPS implementation는 이 표준 매핑에 따라 파생된 이름을 가진 element를 property set에 사용하는 메커니즘을 제공해야 하지만, implementation는 이 규칙을 따르지 않는 하나 이상의 다른 메커니즘을 추가로 제공할 수 있다. 예를 들어, implementation은 property set을 임의 응용 프로그램이 제공하는 스트림 컨테이너 또는 스토리지 컨테이너에 저장할 수 있는 메커니즘을 제공할 수 있다.
표 4는 property set 스트림 및 스토리지의 표준 이름의 지정을 예시한다.
PropertySetStreamOrStorageName  =  %x05 ("SummaryInformation" /
 "DocumentSummaryInformation" / "GlobalInfo" / "ImageContents" /
 "ImageInfo" / 26(ALPHA / "0" / "1" / "2" / "3" / "4" / "5") )
표 5는 special-case FMTID의 예시이다.
Figure 112022110313760-pat00002
다시 도 4를 참조하면, 서버는 PropertySetStream 레코드의 NumPropertySets의 필드값을 확인한다(S4020).
NumPropertySets의 필드값이 2를 나타내는 것에 근거하여, 서버는 FMTID0 및 FMTID1의 필드값이 정당한지 판단한다(S4030). 예를 들어, NumPropertySets의 필드값이 2를 나타내는 경우, FMTID0 필드값은 D5CDD502-2E9C-101B-9397-08002B2CF9AE 값을 갖으며, FMTID1 필드값은 D5CDD505-2E9C-101B-9397-08002B2CF9AE 값을 갖을 수 있다. 서버는 FMTID0 필드값이 D5CDD502-2E9C-101B-9397-08002B2CF9AE이고, FMTID1 필드값이 D5CDD505-2E9C-101B-9397-08002B2CF9AE 인 경우, 이를 정당하다고 판단할 수 있다.
서버는 FMTID0 및 FMTID1의 필드값이 정당한 것에 근거하여, VtHyperlinks 레코드를 확인한다(S4040).
예를 들어, 서버는 Offset1에 근거하여, PropertySet 1 필드를 탐색할 수 있다. PropertySet 1 필드는 User Defined Property Set을 포함할 수 있다.
User Defined Property Set은 "\005DocumentSummaryInformation” 문서 스트림에 포함되어 있으며, 임의 타입의 properties 및 값이 포함되어 있다.
예를 들어, User Defined Property Set은 다음의 property 3개를 포함할 수 있다 : Dictionary Property, CodePage Property, TypedPropetyValue
도 7은 본 명세서가 적용될 수 있는 DocumentSummaryInformation 스트림의 예시이다.
도 7을 참조하면, DocumentSummaryInformation 스트림은 Dictionary Property([01000000 02000000 0C000000 5F504944 5F484C49 4E4B5300]), CodePage Property([02000000 13270000]), TypedPropetyValue([41000000 ...])를 포함할 수 있다.
예를 들어, [5F504944 5F484C49 4E4B5300]는 Name 필드이며, “_PID_HLINKS”를 나타낼 수 있다. 또한, [13270000]는 0x2713 (10003)인 경우, DictionaryEntry 패킷의 문자열은 Korean (Mac)으로 인코딩 되었음을 의미할 수 있다.
관련하여, 본 명세서에 적용될 수 있는 명세(Spec)는 다음과 같다.
2.15 TypedPropertyValue
TypedPropertyValue 구조는 property set에 있는 property의 typed value를 나타낸다.
TypedPropertyValue는 다음의 필드를 포함할 수 있다:
Type (2 bytes): 표시된 property의 타입을 나타내는 PropertyType enumeration에서의 값이어야 한다.
Padding (2 bytes): 0으로 설정해야 하며 0이 아닌 값은 거부되어야 한다.
Value (variable): 다음과 같은 Type의 값에 따라 표현되고 일련화된 property의 값이어야 한다.
표 6은 Type의 예시이다.
Figure 112022110313760-pat00003
2.18 Special Properties
다음 섹션에서 특별한 표현, 사용 또는 제한이 있는 properties에 대한 추가 정보를 제공한다.
2.18.1 Dictionary Property
Dictionary property가 있는 경우 property 식별자는 0x000000이어야 하며 property 이름을 가질 수 없다. TypePropertyValue 패킷으로 표시되는 다른 property와 달리 Dictionary property은 Dictionary 패킷으로 표시되어야 한다.
2.18.2 CodePage Property
CodePage 속성(property)은 속성 식별자(property identifier) 0x00000001이어야 하고 속성 이름(property name)은 없어야 하며 타입은 VT_I2(0x0002)여야 한다. 모든 property set에는 CodePage 속성이 있어야 하며 그 값은 [MS-UCODEREF] 섹션 2.2.1에 명시된 대로 유효한 코드 페이지 식별자(code page identifier)여야 한다. 이 값은 구현별 방식으로 선택된다.
속성 집합의 CodePage 속성은 CodePageString 및 DictionaryEntry 패킷의 표현에 영향을 미친다. 값 CP_위니코드(0x04B0)는 이러한 패킷의 문자열이 16비트 유니코드 문자의 배열로 인코딩되었음을 나타낸다. 다른 값은 이러한 패킷의 문자열이 식별된 코드 페이지에서 8비트 문자의 배열로 인코딩되었음을 나타낸다.
예를 들어, CodePage Property 구조는 TypePropertyValue과 동일할 수 있다.
보다 자세하게, CodePage Property는 TypedPropetyValue의 Value 필드와 대응되는 값을 통해, DictionaryEntry 패킷의 문자열이 어떤 방식으로 인코딩 되었는지를 나타낼 수 있다.
2.17 Dictionary
Dictionary 패킷은 property set에서 property 식별자와 property 이름 간의 모든 매핑을 나타낸다. 예를 들어, Dictionary 패킷에 포함된 모든 Entry field는 일련의 DictionaryEntry 패킷이어야 한다.
2.16 DictionaryEntry
DictionaryEntry 패킷은 property 식별자와 property 이름 간의 매핑을 나타낸다. DictionaryEntry 패킷은 Name 필드를 포함한다.
예를 들어, Name 필드는 reserved name으로 “_PID_HLINKS”를 포함할 수 있다. reserved name과 관련된 명세는 다음과 같다.
[MS-OSHARED]: Office Common Data Types and Objects Structures
(https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-oshared/d93502fa-5b8f-4f47-a3fe-5574046f4b8d)
Microsoft Office 97, Microsoft Office XP, Microsoft Office 2003 및 2007 Microsoft Office 시스템 문서에서 일반적으로 사용되는 데이터 타입 및 데이터 구조인 Office Common Data Types 및 Objects Structure를 지정한다.
2 Structures
2.3 Common Objects
2.3.3 Property Set Storage
OLE property set 스토리지는 property set의 colletion을 저장하는 방법을 지정하는 [MS-OLEPS]에 지정된 포맷이다. 이 섹션에서는 이 포맷에 적용할 수 있는 property set 및 데이터 포맷을 지정한다. Summary Information (섹션 2.3.3.2.1) 속성 세트는 Section 2.3.3 로 작성되어야 한다. Document Summary Information (섹션 2.3.3.2.2) 및 User Defined (섹션 2.3.3.2.3) property set은 선택 사항이다.
2.3.3.2 OLE Property Sets
이 섹션에서는 [MS-OLEPS]에 지정된 대로 property set 스토리지 스트림의 포맷을 정의한다. 이 포맷은 Summary Information (섹션 2.3.3.2.1) 및 Document Summary Information (섹션 2.3.3.2.2) 스트림에 적용된다.
2.3.3.2.3 User Defined Property Set
이 섹션에서는 [MS-OLEPS]에 지정된 대로 임의의 user-defined properties을 포함하는 단순 OLE property set을 정의한다. 이 property set은 FMTID_UserDefinedProperties property set의 스트림 이름 요구사항 및 포맷 식별자 GUID와 관련하여 [MS-OLEPS] 섹션 2.21 및 [MS-OLEPS] 섹션 2.23을 준수한다. User Defined property set은 "\005DocumentSummary"라는 문서 스트림에 포함되어 있다
2.3.3.2.3.2 Reserved Properties
User Defined property set (섹션 2.3.3.2.3)에는 특정 데이터를 위해 예약된 여러 name이 있다.
하이퍼링크와 관련된 reserved name은 “_PID_HLINKS”이며, VtHyperlinks property (섹션 2.3.3.1.21)이어야 하고, 문서에 포함된 하이퍼링크 목록을 지정한다.
따라서, S4040에서 서버는 Dictionary Property가 “_PID_HLINKS”를 포함하고 있는지 확인하여, TypedPropertyValue 내의 VtHyperlinks 레코드를 확인할 수 있다. 이를 위해, 서버는 CodePage Property를 확인하여, Dictionary Property와 관련된 인코딩 방식을 확인할 수 있다. 서버는 인코딩 방식에 근거하여, 문자열 “_PID_HLINKS”를 확인할 수 있다.
서버는 VtHyperlinks 레코드에 근거하여, 링크정보를 무해화한다(S4050).
예를 들어, 서버는 VtHyperlinks 레코드의 vtValue 필드를 통해, VtHyperlinkValue 레코드를 확인하고, VtHyperlinkValue 레코드의 vecHyperlink의 rgHyperlink 필드를 통해, VtHyperlink 배열을 확인할 수 있다. 예를 들어, Dictionary Property가 “_PID_HLINKS”를 포함하고 있는 경우, TypedPropetyValue의 속성은 VtHyperlinks이므로, VtHyperlinks 레코드는 TypedPropetyValue에 포함될 수 있다.
이후, 서버는 VtHyperlink 레코드의 hlink1 및 hlink2 필드에 대해 링크정보를 무해화 할 수 있다.
관련된 명세는 다음과 같다.
2.3.3.1 Property Types
이 섹션에서는 [MS-OLEPS]에서 제공하는 것보다 더 자세한 사양이 필요한 property data types의 데이터 포맷을 지정한다.
2.3.3.1.21 VtHyperlinks
하이퍼링크 set을 나타내는 property의 format을 지정한다. 이 타입은 [MS-OLEPS] 섹션 2.15에 명시된 VT_BLOB TypedPropertyValue 타입을 준수하지만, 이 타입의 데이터 콘텐츠를 추가로 지정하기 위해 여기에 더 자세히 설명한다.
도 8은 본 명세서가 적용될 수 있는 VtHyperlinks의 예시이다.
도 8을 참조하면, VtHyperlinks 레코드는 다음의 필드를 포함할 수 있다:
wType (2 bytes): VT_BLOB(0x0041)와 같아야 하는 부호 없는 정수
padding (2 bytes): 0x0000이어야 하는 부호 없는 정수
vtValue (variable): VtHyperlinkValue 구조여야 한다(섹션 2.3.3.1.20).
2.3.3.1.20 VtHyperlinkValue
하이퍼링크 property의 데이터를 지정한다. 이 타입은 [MS-OLEPS] 섹션 2.15에 명시된 VT_BLOB TypeedPropertyValue 값 포맷을 준수하지만, 이 섹션은 이 타입에 적용할 수 있는 추가 세부 정보를 지정한다.
VtHyperlinkValue 레코드는 VecVtHyperlink 구조인 vecHyperlink (variable)를 포함할 수 있다.
2.3.3.1.19 VecVtHyperlink
하이퍼링크 배열의 데이터 포맷을 지정한다. 여기서 rgHyperlink (variable) 필드는 VtHyperlink 배열(2.3.3.1.18 섹션)을 포함하며, property에 대한 하이퍼링크 목록을 지정한다.
2.3.3.1.18 VtHyperlink
속성(property)에 대한 하이퍼링크의 데이터 포맷을 지정한다.
도 9는 본 명세서가 적용될 수 있는 VtHyperlink의 예시이다.
도 9를 참조하면, VtHyperlink 레코드는 다음의 필드를 포함할 수 있다:
dwHash (8 bytes): [MS-OLEPS] 섹션 2.15에 명시된 VT_I4 TypedPropertyValue이어야 한다. 이 구조의 Value 필드는 hlink1 필드와 hlink2 필드 문자열 값을 입력으로 하여 Hyperlink Hash (섹션 2.4.2) 섹션에 지정된 대로 계산되어야 한다.
dwApp (8 bytes): [MS-OLEPS] 섹션 2.15에 명시된 VT_I4 TypedPropertyValue이어야 한다.
dwOfficeArt (8 bytes): [MS-OLEPS] 섹션 2.15에 명시된 VT_I4 TypedPropertyValue이어야 한다. 이 구조의 Value 필드는 문서에서 하이퍼링크가 적용되는 형상(shape)의 식별자([MS-ODRAW] 섹션 2.2.31)를 지정하는 MSOSPID 타입 값([MS-ODRAW] 섹션 2.1.2)이어야 한다. 이 하이퍼링크가 형상에 적용되지 않는 경우 이 구조의 Value 필드는 0x000000이어야 한다.
dwInfo (8 bytes): [MS-OLEPS] 섹션 2.15에 명시된 VT_I4 TypedPropertyValue이어야 한다.
hlink1 (variable): hlink1의 VtString 구조(섹션 2.3.3.1.11)여야 한다. wType은 VT_LPWSTR과 같다. hlink1.stringValue는 하이퍼링크 대상(target)을 지정한다.
hlink2 (variable): 반드시 hlink2가 있는 tString 구조(섹션 2.3.3.1.11)여야 한다. wType은 VT_LPWSTR과 같다. hlink2.stringValue는 하이퍼링크 위치(location)를 지정한다.
서버는 hlink1 및 hlink2 필드에서 scheme만 남기거나, “/” 가 존재하는 경우, scheme과 “/” 만 남길 수 있다.
또한, 서버는 널(null) 문자(\0)로 링크정보를 제거하지 않고 공백(0x20)으로 무해화를 수행할 수 있다. 널 문자를 사용하지 않는 이유는 일부 문자열에 대한 MS-CFB 명세가 null-terminated string으로 되어 있는 경우가 있기 때문이다.
추가적으로, 서버는 무해화된 링크정보에 근거하여, dwHash 필드를 변경할 수 있다. dwHash 필드는 hlink1 필드와 hlink2 필드 문자열 값을 입력으로 하여, 계산된 해쉬값을 갖으므로, 변경된 hlink1 필드와 hlink2 필드에 따라 적절한 값으로 변경해주어야 한다.
예를 들어, 적절한 값은 hlink 에 있는 문자열에 대해 2개 문자(Char1, Char2)씩을 조합해 8바이트 값으로 넣고(dwNext = (Char2 << 16) | Char1), 이를 최초 0으로 초기화된 값(dwHash(= 0))에 XOR 로 차례대로 누적한 결과(dwHash ^= dwNext)일 수 있다.
관련된 명세는 다음과 같다.
2.4.1 Unicode String to Unsigned Integer Hash
null-terminated 유니코드 문자열이 주어지면 다음 알고리즘을 수행하여 4바이트 부호 없는 정수 해시 값을 얻을 수 있다.
1. 4바이트 부호 없는 정수 값 dwHash는 0x00000000로 설정된다.
2. 입력 문자열을 null-terminating 문자가 더해진 255 문자열(characters)로 잘라낸다.
3. 입력 문자열을 소문자로 변환한다.
4. 위치 0에서 입력 문자열 끝까지의 2 문자열 세트(예: [0,1], [2,3], [4,5], [255, <null>) 각각에 대해 다음 단계를 수행한다.
Example:
for (i=0; i<wcslen(inputString); i+=2)
Char1 = inputString[i];
Char2 = inputString[i+1];
a. Set an unsigned 4-byte integer value, dwNext, equal to the bitwise OR of Char2 shifted 16 bits to the high order and Char1.
Example: dwNext = (Char2 << 16) | Char1;
b. Set dwHash equal to the exclusive OR between dwHash and dwNext.
Example: dwHash = dwHash ^ dwNext;
5. 알고리즘의 결과는 dwHash 값이다.
2.4.2 Hyperlink Hash
두 개의 null-terminated 유니코드 하이퍼링크 문자열인 hlink1(하이퍼링크 대상)과 hlink2(하이퍼링크 위치)가 주어지면 다음 알고리즘을 수행하여 부호 없는 4바이트 정수 해시를 얻을 수 있다.
1. Unicode String to Unsigned Interger(LONG) Hash(섹션 2.4.1)에 지정된 대로 hhlink1을 해시하고, 그 결과 부호없는 4바이트 정수 해시를 dwHash1에 저장한다.
2. Unicode String to Unsigned Interger Hash(섹션 2.4.1)에 지정된 대로 hhlink2를 해시하고, 그 결과 부호없는 4바이트 정수 해시를 dwHash2로 저장한다.
3. 알고리즘의 결과는 dwHash1과 dwHash2의 exclusive OR 로 얻은 값이다.
예: dwHash = dwHash1 ^ dwHash2;
전술한 본 명세서는, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀 질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 명세서의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 명세서의 등가적 범위 내에서의 모든 변경은 본 명세서의 범위에 포함된다.
또한, 이상에서 서비스 및 실시 예들을 중심으로 설명하였으나 이는 단지 예시일 뿐 본 명세서를 한정하는 것이 아니며, 본 명세서가 속하는 분야의 통상의 지식을 가진 자라면 본 서비스 및 실시 예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시 예들에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부한 청구 범위에서 규정하는 본 명세서의 범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (8)

  1. 서버가 DocumentSummaryInformation 스트림의 링크정보를 무해화(Disarming) 시키는 방법에 있어서,
    상기 DocumentSummaryInformation 스트림에서 PropertySetStream 레코드를 확인하는 단계;
    상기 PropertySetStream 레코드의 NumPropertySets의 필드값을 확인하는 단계;
    상기 NumPropertySets의 필드값이 2를 나타내는 것에 근거하여, FMTID0 및 FMTID1의 필드값이 정당한지 판단하는 단계;
    상기 FMTID0 및 상기 FMTID1의 필드값이 정당한 것에 근거하여, VtHyperlinks 레코드를 확인하는 단계; 및
    상기 VtHyperlinks 레코드에 근거하여, 상기 링크정보를 무해화하는 단계;
    를 포함하며,
    상기 FMTID0 및 상기 FMTID1의 필드값이 정당한지 판단하는 단계는
    상기 FMTID0 필드값은 D5CDD502-2E9C-101B-9397-08002B2CF9AE 값이고,
    상기 FMTID1 필드값은 D5CDD505-2E9C-101B-9397-08002B2CF9AE 값인 것에 근거하는, 무해화 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 VtHyperlinks 레코드를 확인하는 단계는
    CodePage Property에서 Dictionary Property와 관련된 인코딩 정보를 확인하는 단계; 및
    상기 인코딩 정보에 근거하여, 상기 Dictionary Property에서 문자열 “_PID_HLINKS”를 확인하는 단계;
    를 포함하는, 무해화 방법.
  4. 제3항에 있어서,
    상기 “_PID_HLINKS”의 확인에 근거하여, 상기 VtHyperlinks 레코드는 TypedPropertyValue에 포함되는, 무해화 방법.
  5. 제4항에 있어서,
    상기 링크정보를 무해화하는 단계는
    상기 VtHyperlinks 레코드의 vtValue 필드를 통해, VtHyperlinkValue 레코드를 확인하는 단계;
    상기 VtHyperlinkValue 레코드의 vecHyperlink의 rgHyperlink 필드를 통해, VtHyperlink의 배열을 확인하는 단계; 및
    상기 VtHyperlink 레코드의 hlink1 및 hlink2 필드에 대해 무해화하는 단계;
    를 포함하는, 무해화 방법.
  6. 제5항에 있어서,
    상기 hlink1 및 hlink2 필드에 대해 무해화하는 단계는
    상기 hlink1 및 hlink2 필드에서 scheme만 남기는 단계;
    를 포함하는, 무해화 방법.
  7. 제1항에 있어서,
    무해화된 상기 링크정보에 근거하여, dwHash 필드를 수정하는 단계;
    를 포함하는, 무해화 방법.
  8. DocumentSummaryInformation 스트림의 링크정보를 무해화(Disarming) 시키는 서버에 있어서,
    통신부;
    메모리; 및
    상기 통신부 및 상기 메모리를 기능적으로 제어하는 프로세서;를 포함하고,
    상기 프로세서는
    상기 DocumentSummaryInformation 스트림에서 PropertySetStream 레코드를 확인하고, 상기 PropertySetStream 레코드의 NumPropertySets의 필드값을 확인하며, 상기 NumPropertySets의 필드값이 2를 나타내는 것에 근거하여, FMTID0 및 FMTID1의 필드값이 정당한지 판단하고, 상기 FMTID0 및 상기 FMTID1의 필드값이 정당한 것에 근거하여, VtHyperlinks 레코드를 확인하고, 상기 VtHyperlinks 레코드에 근거하여, 상기 링크정보를 무해화하며, 상기 FMTID0 및 상기 FMTID1의 필드값이 정당한지 판단하기 위해, 상기 FMTID0 필드값은 D5CDD502-2E9C-101B-9397-08002B2CF9AE 값이고, 상기 FMTID1 필드값은 D5CDD505-2E9C-101B-9397-08002B2CF9AE 값인 것에 근거하는, 서버.
KR1020220135068A 2022-10-19 2022-10-19 MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치 KR102494838B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220135068A KR102494838B1 (ko) 2022-10-19 2022-10-19 MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220135068A KR102494838B1 (ko) 2022-10-19 2022-10-19 MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치

Publications (1)

Publication Number Publication Date
KR102494838B1 true KR102494838B1 (ko) 2023-02-06

Family

ID=85224135

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220135068A KR102494838B1 (ko) 2022-10-19 2022-10-19 MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102494838B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101860546B1 (ko) * 2017-04-28 2018-05-23 (주)지란지교시큐리티 파일 내 포함된 콘텐츠 무력화 장치 및 방법, 그 기록매체

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101860546B1 (ko) * 2017-04-28 2018-05-23 (주)지란지교시큐리티 파일 내 포함된 콘텐츠 무력화 장치 및 방법, 그 기록매체

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Forensecurity, "Microsoft Office Compound Document Internals Part 4 - SummaryInformation"(2014.01.)* *
Kamran Saifullah, "Analyzing Malicious Word Documents"(2022.03.)* *

Similar Documents

Publication Publication Date Title
US10902111B2 (en) Methods, media, and systems for detecting attack on a digital processing device
Halfond et al. Preventing SQL injection attacks using AMNESIA
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
US8051486B2 (en) Indicating SQL injection attack vulnerability with a stored value
US9690935B2 (en) Identification of obfuscated computer items using visual algorithms
US20080027866A1 (en) System and method for authenticating file content
US8484232B2 (en) Method, computer arrangement, computer program and computer program product for checking for the presence of control statements in a data value
KR102583399B1 (ko) PDF에서 Link의 무해화를 위한 방법 및 장치
Otsubo et al. O-checker: Detection of malicious documents through deviation from file format specifications
KR102468431B1 (ko) Ms-ooxml에서 ole object 무해화를 위한 방법 및 장치
KR102494838B1 (ko) MS-CFB의 DocumentSummaryInformation 스트림에서 Link의 무해화를 위한 방법 및 장치
Falah et al. Towards enhanced PDF maldocs detection with feature engineering: design challenges
KR102488943B1 (ko) MS-PPT에서 Link의 무해화를 위한 방법 및 장치
KR102494836B1 (ko) MS-DOC에서 Link의 무해화를 위한 방법 및 장치
KR102538664B1 (ko) Excel 계열의 문서에서 수식 기능에 있는 Link의 무해화를 위한 방법 및 장치
KR102548779B1 (ko) Ms-cfb 형식의 문서에 삽입된 문서파일을 추출하고 검사하기 위한 방법 및 이를 위한 장치
KR102468434B1 (ko) Ms excel 문서 포맷에서 dde 무해화를 위한 방법 및 장치
KR102468428B1 (ko) PDF 또는 HWP에서 JavaScript의 무해화를 위한 방법 및 장치
KR102494827B1 (ko) Ocr 기술을 이용하여 비실행 파일의 악성 매크로를 탐지하기 위한 방법 및 이를 위한 장치
US20240184646A1 (en) Methods and apparatus for disarming dynamic data exchange in ms excel
KR102549007B1 (ko) 디버깅 엔진을 이용한 매크로 탐지 방법 및 이를 위한 장치
KR102548984B1 (ko) 인공지능 모델을 이용하여 악성 문서 파일을 탐지하기 위한 방법 및 이를 위한 장치
Gundoor Identification Of Dominant Features in Non-Portable Executable Malicious File
Bradley et al. Bulk extractor 1.4 user’s manual
Tryonermoefthefollowing Microsoft Wrd

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant