ck vip EK sample analysis 1

q  ck vip exploit kit sample analysis

 

1.     ck vip exploit kit 흐름도

국내 다수의 사이트에서 ck vip exploit kit 으로 제작된 악성링크 삽입이 빈번하게 확인되고 있다

 

[그림 1] ck vip exploit kit 흐름도

 

2.     ck vip exploit kit 난독화 분석

 

2.1  위/변조 & 중간 경유지 사이트 분석

 

  요약: 국내 사이트가 위/변조되어 [그림 7] 처럼 악성 iframe 코드에 의해 두 군데의 중간 경유지로이동된다. 중간 경유지 사이트에도 동일하게 iframe 코드가 삽입되어 최종 악성코드 유포지 및 중국에 위치한 통계 사이트(xx.51yes.com) 로 이동된다. 최종 악성코드 유포지는 일본으로 확인되며, 문서를 작성하는 기간에도 재현되어 일부 모자이크 처리를 하였다

 

[그림 2] 위/변조 & 중간 경유지 사이트에 삽입된 iframe 코드

 

[그림 3] 최종 악성코드 유포지 정보

 

 

2.2  tiancai.html 분석

요약: tiancai.html 은 크게 Java 취약점과 MSIE 버전에 따른 SWF, IE 취약점으로 나뉘어져 있다

 

[그림 4] tiancai.html 구조

 

  - 상단부분의 eval 을 포함하고 있는 변수를 alert 으로 변경하여 1차로 디코딩된 코드 확인가능

  - 1차 디코딩된 코드의 하단부분에 중요한 Key(t) 값이 확인되어, alert(t); 를 삽입하여 코드 확인가능

 

[그림 5] tiancai.html 난독화 디코딩 과정

 

  - 디코딩된 코드와 tiancai.html 하단 부분에 삽입된 코드가 결합되어 동작한다.

  - 해당 자바 취약점이 존재하면 ckurl 변수에 난독화 코드로 삽입된 최종 악성파일이 실행된다.

    ckurl 변수에 삽입된 코드 ☞ 디코딩 과정은 [그림 6] 참조 

 

[그림 6] 최종 악성코드 유포지 확인

 

  - ckwm.jpg 파일은 압축된(.jar) 자바 파일이며, 압축을 해제하면 3개의 class 파일이 확인

  * 참고사항: 흐름도에서 확인되는 wmck.jpg 파일은 다운되지 않음 

 

[그림 7] ckwm.jpg 파일 확인

 

  -  ckwmckwmckwmExp.class 파일에 삽입된 코드에 의해 사용자PC %Temp% 경로에 logo.jpg.vbs

  스크립트 파일을 생성 후 동작되어 최종 악성파일이 실행

 

[그림 8] ckwmckwmckwmExp.class 파일 확인