흔히 Compound Document File(CDF) 포맷을 가지는 파일을 분석할 경우 그 동안 MiTeC에서 개발한 Structed Storage View(SSView)를 사용해 왔다. CDF 포맷을 가지는 파일들은 XLS, PPT, DOC(98~2003), HWP 등을 의미한다. 다들 원래 CDF 포맷과는 조금 다르게 자기들만의 방식으로 변경하여 사용하고 있지만 기본적인 내용은 그대로 유지되어 사용된다.
최근에 Microsoft에서 OLE 형식의 구조를 살펴 볼 수 있는 OffVis(Office Visualization Tool) 를 발표했다. 얼마전에 MCDF(Microsoft CDF), OOXML(Open Office XML) 문서 포맷에 대해서 각 문서(.doc(x), .xls(x), .ppt(x))별로 백장이 넘는 상세 포맷 문서를 공개한적이 있다. 물론 문서를 살펴보면 생략한 부분이 많이 있지만 그동안 꼭꼭 숨겨왔던 것과는 대조로 공개하기 시작했다.
게다가 해당 문서의 구조를 살펴볼 수 있는 OffVis까지 공개하다니 참 이례적인 일이다. 아마도 자신들의 문서와 관련된 많은 보안문제가 발생하면서 공개하려는 마음을 먹은듯 하다. OffVis의 주 목적은 MCDF 내에 숨길 수 있는 악의적인 스크립트나 데이터들을 확인하기 위한 것이다. 만약 구조를 벗어난 데이터가 삽입되어 있다면 해당 데이터를 쉽게 확인할 수 있다. 다음 자료는 MCDF 포맷에 악의적인 데이터 삽입에 관해 발표된 내용이다.
http://www.blackhat.com/presentations/bh-jp-08/bh-jp-08-Dang/BlackHat-Japan-08-Dang-Office-Attacks.pdf
OffiVis는 다음과 같이 8개의 Office 파일의 취약성을 파싱해준다.
| CVE | Product | Bulletin |
| CVE-2006-0009 | PowerPoint | MS06-012 (March 2006) |
| CVE-2006-0022 | PowerPoint | MS06-028 (June 2006) |
| CVE-2006-2492 | Word | MS06-027 (June 2006) |
| CVE-2006-3434 | Word | MS06-062 (October 2006) |
| CVE-2007-0671 | Excel | MS07-015 (February 2007) |
| CVE-2008-0081 | Excel | MS08-014 (March 2008) |
| CVE-2009-0238 | Excel | MS09-009 (April 2009) |
| CVE-2009-0556 | PowerPoint | MS09-017 (May 2009) |
다음은 OffVis를 통해 위의 SSView에서 확인했던 doc파일을 열어본 것이다.
OffVis는 Office 파일의 취약성을 테스트하기 위해 개발되었지만 SSView보다 더 자세하게 트리 구조로 해당 파일 포맷의 구조를 표현해준다는 점에서 해당 파일을 분석하는데 큰 도움이 된다. 그 동안 각 구조를 HexWorkshop을 통해 일일이 Bookmark 하면서 따라갔던 고생이 한번에 해결된 것이다. 이런 좋은 도구가 좀 일찍 나왔으면 좋았을텐데… ^^
OffVis는 다음의 주소에서 다운받을 수 있다.
http://www.microsoft.com/presspass/press/2009/jul09/07-27BlackHat09PR.mspx
-
http://boanchanggo.tistory.com/ 뎅꽁이
-
http://forensic-proof.com 프로니어
