ck vip EK sample analysis 2

2.1 zip.html 분석

 

요약: zip.html 파일도 tiancai.html 과 동일하게 ck vip exploit kit 으로 난독화 되어있으며, 풀이과정은

     동일하다

 

[그림 1] zip.html 코드 확인

 

  -  쉘코드 확인을 어렵게 하기 위해 특정 코드를 변수에 대입 (Abqj6 -> %u)

[그림 2] zip.html 디코딩 코드 확인

 

2.1.1 쉘코드 확인방법

  -  쉘코드를 exe 파일 형태로 변경하여 OllyDbg 에서 확인하는 방법

    →  XOR = 0BD, CX = 3B8(952) 루프가 끝나는 시점에 BP 를 걸어 최종 URL 주소 확인 가능 

[그림 3] 변환된 쉘코드 확인

 

  -  위 [그림 3] 방법이 복잡하다면 Malzilla 프로그램을 사용하여 String 부분에 http 값이 있다고 가정하여 Key 값을 찾은 다음 변환 시 최종 URL 주소 확인 가능

[그림 4] Malzilla 프로그램으로 최종 URL 확인

 

2.2  win.html 분석

 

요약: win.html 파일은 내부에 삽입된 코드에 의해 logo.swf 파일이 실행되어 삽입된 쉘코드가

    동작되는 구조이다

 

[그림 5] win.html 코드 확인

 

2.2.1 logo.swf 파일 확인

 

  -  logo.swf 파일은 압축되어 있으며, 압축 해제 시 파일 용량이 증가한다 [그림 6] 참조

[그림 6] logo.swf 파일 확인

 

  -  HP 社에서 제공하는 SWFScan 프로그램으로 확인결과, _P17 영역에 삽입된 쉘코드가 확인된다

 

[그림 7] SWFScan 프로그램 확인

 

  -  OllyDbg, Malzilla 프로그램에서 확인하는 방법은 위에서 설명한 “2.1.1 쉘코드 확인방법” 참조

 

[그림 8] 변환된 쉘코드 확인

 

[그림 9] Malzilla 프로그램으로 최종 URL 확인