Cool EK sample analysis 2

2.1  Main.html 분석

요약: Main.html 은 pdfx.html 페이지로 유도하는 역할을 하며, Yahoo 와 관련된 사이트로 위장하는 부분과 PluginDetect 0.8.0 실행 부분, 그리고 악성스크립트 부분으로 이루어져 있다

 

[그림 5] main.html 구조

 

2.2.1 PluginDetect 0.8.0 정보

PluginDetect 부분은 블랙홀 툴킷에서 자주 보았던 부분으로 java, pdf, flash 등 다양한Plugin 정보를 수집해 주는 스크립트다. 이 수집된 정보를 통해 공격코드에서 취약점이 존재하는 부분을 공격하여 악성 행위를 하게 된다

해당 스크립트는 아래의 사이트에서 누구나 쉽게 원하는 부분만 포함하여 제작할 수 있다

- http://www.pinlady.net/PluginDetectArchive/0.8.0/download/

 

2.2.2 악성스크립트 부분 분석

-       [그림 11] 의 ① 부분은 현재 페이지에 있는 iframe 내 요소에 접근하기 위해 사용한다

ð  형태: document.getElementById("rvvet").contentWindow.document.getElementById("wtgsnrps");

-       ID가 ‘rvvet’ 인 iframe 에서 ‘wtgsnrps’ 요소의 값을 가져와 ‘kbbdtb’ 변수에 저장한다

-       ② 부분에서 ‘kbbdtb’ 변수를 parseInt 와 String.fromCharCode 함수를 이용하여 ‘bsywkm’ 변수에 문자열로 저장 후 eval 함수로 실행한다

[그림 6] main.html 악성스크립트 분석

 

-       Yahoo 관련 사이트 위장 부분에서 ID가 ‘rvvet’ 인 iframe 을 확인할 수 있다

[그림 7] iframe 확인

 

-       Ntdfitt.html 의 코드 확인 시 ‘wtgsnrps’ 요소의 value 값을 확인할 수 있다

[그림 8] Ntdfitt.html 코드의 id 확인

 

※ 분석 시 main.html 과 같은 폴더에 Ntdfitt.htm 파일이 있다면, [그림 11] 에서 eval 을 alert 으로 변경하여도 복호화된 값을 확인 가능

 

-       난독화된 데이터 부분과 복호화 스크립트를 정리하면 [그림 14] 와 같다

[그림 9] 간단하게 정리된 악성스크립트

 

-       main.html 복호화 결과

  ð  사용자의 Java 버전에 의해 pdfx.html 으로 이동

[그림 10] main.html 복호화 결과 화면