Blackhole EK sample analysis 1

## 해당 내용은 2012년 11월 볼라벤소모임 활동을 하면서 분석한 내용입니다.

 

q  개요

2012년 9월 Blackhole Exploit Toolkit의 최신버전인 Ver2.0에 대한 정보가 해외 보안사이트에서

확인 되었습니다. 그리고 9월 말 국내에서 Blackhole Exploit Toolkit 2.0을 이용한 악성코드 유포로

의심되는 이벤트가 발생되어 분석 및 공유합니다

[그림 1. Blackhole Exploit Toolkit 정보]

 

[ Blackhole Exploit Toolkit 2.0 참고 사이트 ]

http://malware.dontneedcoffee.com/2012/09/blackhole2.0.html#!/2012/09/blackhole2.0.html

 

q  악성코드 유포 흐름

 

1.    악성코드 유포 흐름도

- 해커가 Webhosting 업체를 장악 후 서비스를 받는 하위 웹사이트들을 이용하여 악성코드 유포

[그림 2. 악성코드 유포 흐름도]

√ 해커가 웹 호스트 업체 서버 장악 및 악성코드 유포지 선점

√ 사용자가 해당 업체에서 서비스 받는 웹사이트 접속 시 악성코드 유포지로 이동 (302 Redirection)

√ 악성코드 유포지로부터 악성파일이 설치되어 개인정보 유출

 

2.    확인된 악성코드 유포지 LIST (2012년 10월 기준)

[그림 3. 악성코드 유포지 현황]

 

q  악성코드 분석

 

1.    요약

[그림 4. 악성코드 흐름도]

 ①   사용자가 위/변조된 사이트(gxxxxx.co.kr/index.html) 접속 후 Blank.php 페이지 접속

②   blank.php 코드의 특정조건(port:80 등)에 맞으면 악성코드 유포지(Index_old.php)로 302 redirect 

    시키고, 다르면 정상페이지로 이동

☞  paros 등을 사용하여 분석 시 어렵게 하기 위한 행위로 추정

③   Index_old.php 코드에 의해 navigator.useragent 환경을 체크하여 복호화 수행

④   Index2.php 코드는 러시아 성인사이트로 접속과 동시에 다양한 취약점을 내포하고 있는 main.php (blackhole exploit toolkit) 코드로 이동

⑤   main.php 코드는 Java, PDF 취약점 존재 시 최종 악성파일을 다운받아 실행되도록 구현

⑥   최종 악성파일(info.exe) 감염 시 외부로 SMTP 트래픽을 발생