글
Blackhole EK sample analysis 2
q 악성코드 분석
1. 요약
[그림 1. 악성코드 흐름도]
② blank.php 코드의 특정조건(port:80 등)에 맞으면 악성코드 유포지(Index_old.php)로 302 redirect
시키고, 다르면 정상페이지로 이동
☞ paros 등을 사용하여 분석 시 어렵게 하기 위한 행위로 추정
③ Index_old.php 코드에 의해 navigator.useragent 환경을 체크하여 복호화 수행
④ Index2.php 코드는 러시아 성인사이트로 접속과 동시에 다양한 취약점을 내포하고 있는 main.php (blackhole exploit toolkit) 코드로 이동
⑤ main.php 코드는 Java, PDF 취약점 존재 시 최종 악성파일을 다운받아 실행되도록 구현
⑥ 최종 악성파일(info.exe) 감염 시 외부로 SMTP 트래픽을 발생
2. 상세분석
1) index.html (gxxxxx.co.kr/index.html)
- 해커가 삽입한 페이지로 악성파일 다운로드를 유도하는 “blank.php” 와 정상 사이트의
메인 페이지인 “main.php” 로 이동되게 구성
[그림 2. index.html 소스코드]
※ 현재 해당사이트는 조치되어 index.html 페이지는 존재하지 않음
2) blank.php (gxxxxx.co.kr/blank.php)
- 특정조건(Port:80) 에 의해 맞으면 302 Redirection 기법으로 “index_old.php” 페이지로 이동
[그림 3. Blank.php 접속화면]
3) index_old.php (wkxxxk.in/index_old.php -> wkxxxk.in/blank.php)
- index_old.php 코드에 의해 이동된 blank.php 파일은 난독화된 페이지로 “index2.php” 페이지로
접속을 유도하는 역할
- “navigator.useragent” 함수에 의해 분석자의 환경이 조건에 맞지 않는 경우 동작하지 않음
☞ 실제 분석 시 일부 코드를 수정하여 난독화 진행
[그림 4. Index_old.php 난독화]
4) index2.php (wkxxxk.in/index2.php)
- “blank.php” 와 동일한 방식으로 난독화된 페이지로 다양한 취약점을 내포하고 있는 “main.php” 페이지로 접속을 유도하는 역할
[그림 5. index2.php 난독화]
'Web Exploit Kit > Blackhole EK' 카테고리의 다른 글
Blackhole EK sample analysis 3 (0) | 2013.11.18 |
---|---|
Blackhole EK sample analysis 1 (1) | 2013.11.18 |