[4] 난독화 연습 문제풀이 따라하기 I

[4] 난독화 연습 문제풀이 따라하기 I

 

1.      기본적인 난독화 풀이 방법을 통한 풀이

※    해당 난독화 기법은 2012년도에 실제 악성코드 유포에 이용되었던 것으로, 설명에 이용하기 위해

   악성URL 대신 블로그 주소를 넣어 샘플을 만들어 실습하였습니다.

 

1.1 위/변조된 사이트에서 악성 자바스크립트 확인

- 정상사이트지만 html 종료 후 비정상적으로 삽입된 의심 스크립트 확인

[그림 1] 의심스크립트 확인

 

1.2 의심스크립트만 분리 후 실행화면

- 의심스크립트 실행 시 특정 URL로 접속을 시도한다

☞ 실제 악성스크립트에서는 width=0, height=0으로 설정된 iframe이 삽입되어 아래처럼 연결화면이

나오지는 않았지만, 이해하기 쉽게 하기위해 특정 URL로 연결동작이 보이도록 변경하였다.

[그림 2] 스크립트 실행 시 특정URL 접속 확인

 

1.3 의심스크립트 분석

  - alert을 이용한 문자열 확인

 

[그림 3] 의심스크립트 정리 

①    의심 스크립트만 분리하여 저장 후 보기 좋게 나눈다

②    A 부분이 document.write와 unescape를 통하여 어떤 동작하는 것으로 의심되기 때문에

    document.write를 alert으로 변경하여 문자열로 확인시도 한다

 

- 실행 결과

[그림 4] A부분 결과 값

 

- A부분 결과 값를 [그림3]의 A부분에 삽입

[그림 5] A부분결과 값 삽입

 

- 결과 부분을 보기 좋게 정리

[그림 6] 스크립트 정리

①    function 부분을 보기좋게 정리하면 document.write 부분이 의심스러워 보인다

②    document.write를 alert으로 변경하여 결과값을 문자열로 확인시도 한다

 

- 실행 결과

 

[그림 7] 최종 결과 값 확인

 

1.4 의심스크립트 분석 결과

- 의심스크립트 분석결과, 특정사이트로 연결하는 iframe이 난독화된 스크립트로 확인

- 실제 악성코드에서는 width=0, height=0으로 설정되어 사용자가 인지하지 못한 상태에서

  악성 URL로 연결을 시도 후 악성파일을 다운로드

 

강좌4_샘플.zip

 

 * 해당 글에서 분석한 난독화 샘플이 필요하시면 댓글 달아 주시면 보내드리겠습니다.

 → 파일 첨부하였습니다. (받아가시고 댓글 부탁드려요 ^^)