Cool EK sample analysis 3

3.1  Pdfx.html 분석

요약: Pdfx.html 은 fnts.html 로 연결(웹폰트취약점) 및 EtQZAs.pdf 파일(PDF취약점)을 다운로드 하는 역활을 하며, Microsoft help 사이트로 위장하는 부분과 악성스크립트 부분으로 이루어져 있다

[그림 16] Pdfx.html 구조

 

[그림 17] Pdfx.html 실행 및 링크 클릭 시 보여지는 화면

 

3.1.1 악성스크립트 부분 분석

-       [그림 18] 의 ① 부분은 현재 페이지에 있는 iframe 내 요소에 접근하기 위해 사용한다

ð  형태: document.getElementById("puykjo").contentWindow.document.getElementById("rhdc");

-       ID가 ‘puykjo’ 인 iframe 에서 ‘rhdc’ 요소의 값을 가져와 ‘bexzpll’ 변수에 저장한다

-       ② 부분에서 ‘bexzpll’ 변수를 parseInt 와 String.fromCharCode 함수를 이용하여 ‘ftgfk’ 변수에

문자열로 저장 후 eval 함수로 실행한다

[그림 18] Pdfx.html 악성스크립트 분석

 

-       Microsoft help 사이트 코드 영역에서 ID가 ‘puykjo’ 인 iframe 을 확인할 수 있다

[그림 19] iframe 확인

 

-       xbje.html 의 코드 확인 시 ‘rhdc’ 요소의 value 값을 확인할 수 있다

[그림 20] xbje.html 코드의 id 확인

 

-       난독화된 데이터 부분과 복호화 스크립트를 정리하면 [그림 21] 과 같다

[그림 21] 간단하게 정리된 악성스크립트

 

-       Pdfx.html 복호화 결과

ð  Iframe 에 의해 fnts.html 이동 및 사용자의 pdf 버전에 의해 EtQZAs.pdf 실행

[그림 22] Pdfx.html 복호화 결과 화면

 

 

3.2  fnts.html 분석

요약: fnts.html 은 IgqaRKnXz.eot 파일을 불러와 div tag 의 :) 값에 폰트를 적용하도록 되어있으며,  CVE-2011-3402 취약점을 이용하여 z297U9DAuM.exe 파일을 실행하는 역할을 한다

[그림 23] fnts.html 코드 화면

 ①    웹 폰트 사용시 불러오는 방법 중 하나로 IgqaRKnXz.eot 파일을 불러온다

   ð  Style tag 에서 #으로 기술하면 id로 지정 시 적용된다 (#MRnAKouG 기술)

 ②    Div Tag 에서 style 을 id=’MRnAKouG’ 로 하여 ①에서 불러온 웹폰트를 사용한다

   ð  이 과정에서 조작된 eot 파일에 의해 취약점이 발생한다

 ③    div Tag 의 값으로 웹 페이지에 나타나는 부분이다

   ð  해당 페이지를 실행시키면 아무것도 보이지 않는데 그 이유는 IgqaRKnXz.eot 글꼴에서는’:’ 와 ’)’

      문자가 공백으로 표시되기 때문이다 (IgqaRKnXz.eot 분석내용 참조)

 

 v Web Font 적용 실습 및 정상동작 여부확인 (APM setup 이용)

-       fnts.html 의 url 부분을 네이버에서 무료로 제공하는 나눔고딕 eot 파일로 설정

-       동일한 내용으로 웹폰트가 적용되는 부분과 적용되지 않는 부분을 작성하여 실행

[그림 24] 웹폰트 TEST

 

-       아래의 그림처럼 웹폰트가 정상적으로 적용되는 것을 확인 (위의 글자에 적용된 것이 확인됨)

[그림 25] 웹폰트 TEST 결과 화면

 

3.3  lgqaRknXz.eot 분석

요약: CVE-2011-3402 취약점이 존재한다면, 웹폰트 취약점에 의해 sRSL76pksF.exe 파일을 다운로드 및 실행된다

하지만 샘플에서는 취약점이 존재하지 않아 이로 인한 악성코드 감염은 없었다

☞ lgqaRknXz.eot 파일분석을 시도하였지만, 관련 정보가 부족하여 분석에 어려움을 겪고 있다.

하지만 파일 분석을 위한 힌트를 얻을 수 있었고 분석은 현재 진행이다

 

-       eotinfo 를 이용한 기본 정보 확인 (ubuntu tool 사용)

[그림 26] lgqaRknXz.eot 기본 정보

 

-       lgqaRknXz.eot 웹폰트 적용 시 글꼴 확인

ð  기본 글꼴과 동일하지만 ‘:)’ 이 공백으로 표시되는 것을 확인 할 수 있다. 실제 악성 eot가 적용된

Fnts.html 페이지는 사용자에게 빈 페이지로 보일 것이다 

[그림 27] lgqaRknXz.eot 웹폰트 적용 화면

 

※     eot 파일 분석에 관하여

eot 파일 분석을 위해서는 먼저 폰트 파일(ttf)로 변환해야 한다고 한다. 하지만 변환하는 방법은 찾을 수 없었고, 폰트파일은 라이센스가 있기 때문에 웹폰트를 무단으로 ttf 형식으로 변환하여 사용하는 것은 불법행위이기 때문에 내용이 공식적으로 언급이 되지 않은 것 같다

(ttf -> eot 변환 툴은 많음)

그 외 에도 실행 시 iexplore 를 ollyDbg 에 Attach 시켜 변환 알고리즘을 알아내는 방법이 있다.