Cool EK sample analysis 1

q  Cool EK sample analysis

 

1.    Cool EK 흐름도

6월 말 국내에서 탐지된 Cool EK 분석 결과, 위/변조된 사이트 접속 시 난독화된 경유지로 이동 후 PDF 취약점과 EOT(웹폰트) 취약점을 이용하여 악성코드를 유포하였다

 

[그림 1] Cool EK 흐름도

 

2.    Cool EK 난독화 분석

2.1  www.kixxx.com (위/변조 사이트) 분석

요약: 정상 사이트가 위/변조되어 HTML Tag 상단 부분에 악성스크립트 삽입된 것으로 확인되며, Main.html 페이지로 이동시키는 역할을 한다

 

-       [그림 7] 에서 HTML Tag 가 시작 전 비정상적으로 스크립트가 삽입된 것을 확인

[그림 2] 위/변조 사이트에 삽입된 악성스크립트

 

-       스크립트 부분 정리 후 실행함수 eval 을 alert 으로 수정하여 복호화된 스크립트를 확인

[그림 3] 악성 스크립트 분석

 

※ 쉽게 복호화된 스크립트를 보기 위해 데이터가 실행되는 부분을 문자열로 나타내어 주었다

 

※ 스크립트 내용: a를 “,” 기준으로 배열(split 이용)로 만들고, 8진수 값들을 10진수로 변경 후 4를 뺀다. 그리고 String.fromCharCode 를 이용하여 문자열로 변환 후 eval 함수로 실행한다

 

-       Alert 결과 창에서 악성코드 유포 중간 경유지를 확인 할 수 있다

[그림 4] alert 결과 화면