본문 바로가기
분석 보고서

PDF 악성으로 탐지 건 분석 (정상 파일)

Jaehyunn 2026. 4. 27. 21:28

유전성 혈관부종(HAE) 환자를 대상으로 한 Lonvoguran Ziclumeran(Lonvo-z; NTLA-2002)이라는 유전자 편집 치료제의 임상 1/2상 결과 데이터

  해당 PDF를 다운받은 사용자는 기업분석팀의 의료/바이오 쪽의 직원

 

APT 보안 장비에서는 해당 PDF를 멀웨어 및 Dropper 형식의 악성 JS스크립트가 포함된 PDF 문서라고 판별함

VirusTotal에 MD5 와 SHA256 해시값을 대조했을 때 벤더사에서 악성으로 등록해놓은 기업 없음

즉 평판조회에서는 악성 판별 어려움

 

 

브라우저를 켜고 F12(개발자 도구) 를 이용하여 
분석할 파일을 브라우저 창으로 드래그 앤 드롭한 후
소스 코드나 텍스트 모드로 내용을 훑어보며 /JS, /JavaScript, /OpenAction 같은 단어가 포함되어 있는지 Ctrl + F로 검색해

보았을 때도 별다른 이상 구문이 존재하지 않음

 

Notepad로 파일을 열어서 텍스트 검색을 해보았을 때도 /JS, /URL 등 악성구문이 존재하지 않음

 

PDF를 실행하지 않았을 때

 

 

PDF를 실행했을 때

 

해당 PDF를 종료했을 때

 

하지만 Process exploer 로 현재 소프트웨어의 동작 현황을 지켜보았을 때

위와 같은 프로세스 생성 및 종료에 있어 하나가 아닌, 많은 Edge를 생성하고 종료함에 악성으로 분류하고 분석함

 

NotePad 메모장에서 Ctrl + F로 /Filter 또는 /FlateDecode 조회 했을 때

 

<</Type/ObjStm/N 500/First 5083/Filter/FlateDecode/Length 5893>>

stream

<</Type/ObjStm/N 111/First 1076/Filter/FlateDecode/Length 3598>>

stream

즉, 이 파일은 ObjStm (Object Stream) 방식을 사용하고 있다는 걸 알게 되었음

N 500: 이 안에 500개의 서로 다른 객체가 뭉쳐 있다는 뜻

FlateDecode: 그 500개를 통째로 압축했다는 뜻

 

1) 파일 내부에 다량의 객체를 포함하는 Object Stream(ObjStm) 구조가 확인됨.
2) 특히 500개 이상의 객체를 FlateDecode로 압축하여,

일반적인 문자열 검색(JS, OpenAction 등)을 통한 정적 분석을 우회함
3) 이 압축을 풀고 실행하는 과정에서 과도한 연산이 발생하며, 메모리 오류 및 프로세스 대량 생성이 되었을 수 있음

 

 

PDF를 실행하며, 정적분석에서 진행이 잘 되지 않으니, 혹시 temp 폴더에 이상한 폴더나, 파일을 생성했을지 몰라 조회함

[ PowerShell ]

Get-FileHash "C:\Users\김재현\AppData\Local\Temp\flatlaf.temp\flatlaf-windows-x86_64-157963138399000.dll"

flatlaf.temp 이건 버프스위트 관련 Temp에 떨어지는 파일임을 알 수 있었음

즉, 악성 행위의 파일이 생긴 게 아니었음

 

나머지 파일 생성 시간을 대조하여 PDF를 실행시킴과 엇비슷하게 생성된 파일들도 조회해봤지만

Edge를 실행하며 관련된 tmp 파일들이었음

 

5a05f94e-e82c-40ac-a7d3-e40838e41b5f
79901870-ac03-4aad-afa9-1f9f27423588
9f309cd1-0b32-4064-8ca7-93021365bdc6

 

정적 분석 및 직접 PDF를 실행시킴에도 C2통신이나, 악성 행위가 존재하지 않아 Ahnlab Plus 에 의뢰 및 분석을 종료함

해당 PDF를 다운 받은 곳은

hxxp://www.intelliatx.com

임상 단계 유전자 연구 회사인 인텔리아 테라퓨틱스는 CRISPR 기반 기술을 활용하여 잠재적으로 치료 효과가 있는

새로운 치료제를 개발하는 의학 관련 웹사이트

 

관련 부서의 사용자가 관련 업계의 분석을 진행하며 공식 경로에서 받은 PDF임과 더불어

정적 분석 결과가 매우 깨끗하며, 유효한 서명을 갖춘 정상 라이브러리를 동반하고 있다는 점에서

APT 보안 장비의 오탐 (과탐)일 확률도 존재

 

복잡한 구조의 PDF 문서를 브라우저 및 분석 도구 환경에서 렌더링하는 과정 중에 발생한 리소스 로드 행위로 판단.

해당 행위를 악성 행위로 분류해 분석에 있어 착오가 생겼을 수 있음

 

 

 

'분석 보고서' 카테고리의 다른 글

LaunchAclWait.exe (eBook) 탐지 분석 (정상)  (0) 2026.05.01
피싱 메일 유입 분석 (악성)  (0) 2026.04.29
AdobeGenuineInstaller.exe ( 정상파일 ) 분석  (0) 2026.04.21
한컴오피스 Installer ( 악성파일 ) 분석  (0) 2026.04.21
DaVuIndy.exe ( 정상파일 ) 분석  (0) 2026.04.17

'분석 보고서' Related Articles

티스토리툴바