글
ck vip EK sample analysis 2
2.1 zip.html 분석
요약: zip.html 파일도 tiancai.html 과 동일하게 ck vip exploit kit 으로 난독화 되어있으며, 풀이과정은
동일하다
[그림 1] zip.html 코드 확인
- 쉘코드 확인을 어렵게 하기 위해 특정 코드를 변수에 대입 (Abqj6 -> %u)
[그림 2] zip.html 디코딩 코드 확인
2.1.1 쉘코드 확인방법
- 쉘코드를 exe 파일 형태로 변경하여 OllyDbg 에서 확인하는 방법
→ XOR = 0BD, CX = 3B8(952) 루프가 끝나는 시점에 BP 를 걸어 최종 URL 주소 확인 가능
[그림 3] 변환된 쉘코드 확인
- 위 [그림 3] 방법이 복잡하다면 Malzilla 프로그램을 사용하여 String 부분에 http 값이 있다고 가정하여 Key 값을 찾은 다음 변환 시 최종 URL 주소 확인 가능
[그림 4] Malzilla 프로그램으로 최종 URL 확인
2.2 win.html 분석
요약: win.html 파일은 내부에 삽입된 코드에 의해 logo.swf 파일이 실행되어 삽입된 쉘코드가
동작되는 구조이다
[그림 5] win.html 코드 확인
2.2.1 logo.swf 파일 확인
- logo.swf 파일은 압축되어 있으며, 압축 해제 시 파일 용량이 증가한다 [그림 6] 참조
[그림 6] logo.swf 파일 확인
- HP 社에서 제공하는 SWFScan 프로그램으로 확인결과, _P17 영역에 삽입된 쉘코드가 확인된다
[그림 7] SWFScan 프로그램 확인
- OllyDbg, Malzilla 프로그램에서 확인하는 방법은 위에서 설명한 “2.1.1 쉘코드 확인방법” 참조
[그림 8] 변환된 쉘코드 확인
[그림 9] Malzilla 프로그램으로 최종 URL 확인
'Web Exploit Kit > ck vip EK (jsck vip)' 카테고리의 다른 글
ck vip EK sample analysis 1 (0) | 2013.11.10 |
---|---|
ck vip EK 소개 (0) | 2013.11.10 |