글
ck vip EK sample analysis 1
q ck vip exploit kit sample analysis
1. ck vip exploit kit 흐름도
국내 다수의 사이트에서 ck vip exploit kit 으로 제작된 악성링크 삽입이 빈번하게 확인되고 있다
[그림 1] ck vip exploit kit 흐름도
2. ck vip exploit kit 난독화 분석
2.1 위/변조 & 중간 경유지 사이트 분석
요약: 국내 사이트가 위/변조되어 [그림 7] 처럼 악성 iframe 코드에 의해 두 군데의 중간 경유지로이동된다. 중간 경유지 사이트에도 동일하게 iframe 코드가 삽입되어 최종 악성코드 유포지 및 중국에 위치한 통계 사이트(xx.51yes.com) 로 이동된다. 최종 악성코드 유포지는 일본으로 확인되며, 문서를 작성하는 기간에도 재현되어 일부 모자이크 처리를 하였다
[그림 2] 위/변조 & 중간 경유지 사이트에 삽입된 iframe 코드
[그림 3] 최종 악성코드 유포지 정보
2.2 tiancai.html 분석
요약: tiancai.html 은 크게 Java 취약점과 MSIE 버전에 따른 SWF, IE 취약점으로 나뉘어져 있다
[그림 4] tiancai.html 구조
- 상단부분의 eval 을 포함하고 있는 변수를 alert 으로 변경하여 1차로 디코딩된 코드 확인가능
- 1차 디코딩된 코드의 하단부분에 중요한 Key(t) 값이 확인되어, alert(t); 를 삽입하여 코드 확인가능
[그림 5] tiancai.html 난독화 디코딩 과정
- 디코딩된 코드와 tiancai.html 하단 부분에 삽입된 코드가 결합되어 동작한다.
- 해당 자바 취약점이 존재하면 ckurl 변수에 난독화 코드로 삽입된 최종 악성파일이 실행된다.
ckurl 변수에 삽입된 코드 ☞ 디코딩 과정은 [그림 6] 참조
[그림 6] 최종 악성코드 유포지 확인
- ckwm.jpg 파일은 압축된(.jar) 자바 파일이며, 압축을 해제하면 3개의 class 파일이 확인
* 참고사항: 흐름도에서 확인되는 wmck.jpg 파일은 다운되지 않음
[그림 7] ckwm.jpg 파일 확인
- ckwmckwmckwmExp.class 파일에 삽입된 코드에 의해 사용자PC %Temp% 경로에 logo.jpg.vbs
스크립트 파일을 생성 후 동작되어 최종 악성파일이 실행
[그림 8] ckwmckwmckwmExp.class 파일 확인
'Web Exploit Kit > ck vip EK (jsck vip)' 카테고리의 다른 글
ck vip EK sample analysis 2 (3) | 2013.11.10 |
---|---|
ck vip EK 소개 (0) | 2013.11.10 |