글
Blackhole EK sample analysis 3
5) main.php (wkxxxk.in/main.php)
- Blackhole Exploit Toolkit 2.0의 Main으로 세 부분의 코드로 구분하여 확인
• 첫 번째 부분: “frame1.php” 페이지로 이동시키는 부분
• 두 번째 부분: PDF 취약점을 이용한 악성파일 다운로드 시도
• 세 번째 부분: java 취약점을 이용한 악성파일 다운로드 시도
▶ 첫 번째 부분 분석
≫ “blank.php” 와 동일한 패턴으로 난독화되어 있으며, “frame1.php” 페이지로 유도
A. 난독화 코드의 key 값을 찾은 후 “docment.write”를 이용하여 난독화 해제
- “%(HEX값) %(HEX값)… “ 형태의 쉘코드 값을 확인
[그림 9-1. main.php 첫 번째 부분 난독화]
B. A에서 얻은 결과값에서 “%”를 모두 제거 후 malzilla Tool을 이용하여 XOR 연산
- malzilla Tool을 사용하여 “http” 문자열의 Key 값을 찾아 XOR 연산
- iframe 태그로 “wkmyk.in/frame1.php?src=14…” 연결 확인
[그림 9-2. main.php 첫 번째 부분 난독화]
≫ frame1.php 분석: “frame1.php”는 “특정페이지로 접속을 시도하는 부분과 취약점을 이용하여 쉘코드를 실행하는 두 부분으로 이루어져 있다
A. iframe 태그를 이용하여 “frame2.php”으로 연결을 시도
⇒ “frame2.php “ 접속 시 해당페이지는 존재하지 않음 (404 Not Found)
[그림 10-1. frame1.php 소스]
B. 취약점을 이용하여 쉘코드를 실행시키는 것으로 추정되지만, 코드가 손상되어 재현되지 않음
[그림 10-2. frame1.php 소스]
▶ 두 번째 부분 분석 (PDF 취약점)
≫ PDF 취약점을 이용한 ~/content/ap2.php (e8a11.pdf) 파일이 실행되어 악성코드에 감염
A. PDF 파일에 삽입된 난독화 코드 복호화
[그림 11. ap2.php 복호화 과정]
▶ 세 번째 부분 분석 (Java 취약점)
- Java 취약점이 존재할 경우 Gam.jar 파일과 value 값을 이용하여 악성코드 유포지로 이동
- 제작자가 자신만의 키 값을 이용하여 value 값을 난독화
- “Secret Decoder Ring” Tool을 사용하여 악성코드 유포지 확인
[그림 12. main.php 세 번째 부분 난독화]
☞ Key값은 해당 툴을 이용하여 이미 알려진 정보(value값과 악성코드 유포지)를 역 분석하여 찾을 수 있음
※ 블로그의 특성상 난독화 부분만 다루었다. 전체 분석보고서는 아래의 볼라벤소모임 블로그에서 다운로드
가능합니다
- http://thebolaven.tistory.com/entry/4차-문서-blackhole-exploit-toolkit-20-분석
'Web Exploit Kit > Blackhole EK' 카테고리의 다른 글
Blackhole EK sample analysis 2 (0) | 2013.11.18 |
---|---|
Blackhole EK sample analysis 1 (1) | 2013.11.18 |