신의를 갖추자

작은 진동/논어 2013. 8. 26. 20:12

子曰 "인이무신 부지기가야. 대거무예, 소거무월, 기하이행지재."

 

신의가 없는 사람을 어디에 쓰겠는가. 큰 수레에 끌채가 없고 작은 수레에 멍에목이 없다면

어찌 굴러갈 수 있단 말인가.

 

돼지를 잡아 약속을 지킨 증자를 기억하라!

* 증자: 공자의 제자 중 한사람 

저작자표시 비영리 변경금지

설정

트랙백

댓글

Cool EK sample analysis 2

Web Exploit Kit/Cool EK 2013. 8. 10. 22:02

2.1  Main.html 분석

요약: Main.html pdfx.html 페이지로 유도하는 역할을 하며, Yahoo 와 관련된 사이트로 위장하는 부분과 PluginDetect 0.8.0 실행 부분, 그리고 악성스크립트 부분으로 이루어져 있다

 

[그림 5] main.html 구조

 

2.2.1 PluginDetect 0.8.0 정보

PluginDetect 부분은 블랙홀 툴킷에서 자주 보았던 부분으로 java, pdf, flash 등 다양한Plugin 정보를 수집해 주는 스크립트다. 이 수집된 정보를 통해 공격코드에서 취약점이 존재하는 부분을 공격하여 악성 행위를 하게 된다

해당 스크립트는 아래의 사이트에서 누구나 쉽게 원하는 부분만 포함하여 제작할 수 있다

- http://www.pinlady.net/PluginDetectArchive/0.8.0/download/

 

2.2.2 악성스크립트 부분 분석

-       [그림 11] 의 ① 부분은 현재 페이지에 있는 iframe 내 요소에 접근하기 위해 사용한다

ð  형태: document.getElementById("rvvet").contentWindow.document.getElementById("wtgsnrps");

-       ID‘rvvet’ iframe 에서 ‘wtgsnrps’ 요소의 값을 가져와 ‘kbbdtb’ 변수에 저장한다

-       ② 부분에서 ‘kbbdtb’ 변수를 parseInt String.fromCharCode 함수를 이용하여 ‘bsywkm’ 변수에 문자열로 저장 후 eval 함수로 실행한다

[그림 6] main.html 악성스크립트 분석

 

-       Yahoo 관련 사이트 위장 부분에서 ID‘rvvet’ iframe 을 확인할 수 있다

[그림 7] iframe 확인

 

-       Ntdfitt.html 의 코드 확인 시 ‘wtgsnrps’ 요소의 value 값을 확인할 수 있다

[그림 8] Ntdfitt.html 코드의 id 확인

 

※ 분석 시 main.html 과 같은 폴더에 Ntdfitt.htm 파일이 있다면, [그림 11] 에서 eval alert 으로 변경하여도 복호화된 값을 확인 가능

 

-       난독화된 데이터 부분과 복호화 스크립트를 정리하면 [그림 14] 와 같다

[그림 9] 간단하게 정리된 악성스크립트

 

-       main.html 복호화 결과

  ð  사용자의 Java 버전에 의해 pdfx.html 으로 이동

[그림 10] main.html 복호화 결과 화면

 

저작자표시 비영리 변경금지

'Web Exploit Kit > Cool EK' 카테고리의 다른 글

Cool EK sample analysis 4  (0) 2013.11.02
Cool EK sample analysis 3  (0) 2013.11.02
Cool EK sample analysis 1  (0) 2013.08.10
Cool EK 소개 (Cool Exploit Kit)  (0) 2013.08.06

설정

트랙백

댓글

Cool EK sample analysis 1

Web Exploit Kit/Cool EK 2013. 8. 10. 21:52

q  Cool EK sample analysis

 

1.    Cool EK 흐름도

6월 말 국내에서 탐지된 Cool EK 분석 결과, /변조된 사이트 접속 시 난독화된 경유지로 이동 후 PDF 취약점과 EOT(웹폰트) 취약점을 이용하여 악성코드를 유포하였다

 

[그림 1] Cool EK 흐름도

 

2.    Cool EK 난독화 분석

2.1  www.kixxx.com (/변조 사이트) 분석

요약: 정상 사이트가 위/변조되어 HTML Tag 상단 부분에 악성스크립트 삽입된 것으로 확인되며, Main.html 페이지로 이동시키는 역할을 한다

 

-       [그림 7] 에서 HTML Tag 가 시작 전 비정상적으로 스크립트가 삽입된 것을 확인

[그림 2] /변조 사이트에 삽입된 악성스크립트

 

-       스크립트 부분 정리 후 실행함수 eval alert 으로 수정하여 복호화된 스크립트를 확인

[그림 3] 악성 스크립트 분석

 

※ 쉽게 복호화된 스크립트를 보기 위해 데이터가 실행되는 부분을 문자열로 나타내어 주었다

 

※ 스크립트 내용: a“,” 기준으로 배열(split 이용)로 만들고, 8진수 값들을 10진수로 변경 후 4를 뺀다. 그리고 String.fromCharCode 를 이용하여 문자열로 변환 후 eval 함수로 실행한다

 

-       Alert 결과 창에서 악성코드 유포 중간 경유지를 확인 할 수 있다

[그림 4] alert 결과 화면

 

저작자표시 비영리 변경금지

'Web Exploit Kit > Cool EK' 카테고리의 다른 글

Cool EK sample analysis 4  (0) 2013.11.02
Cool EK sample analysis 3  (0) 2013.11.02
Cool EK sample analysis 2  (0) 2013.08.10
Cool EK 소개 (Cool Exploit Kit)  (0) 2013.08.06

설정

트랙백

댓글

1 ··· 8 9 10 11 12 13 14 ··· 19
지역로그 : 태그 : 미디어로그 : 방명록 : 관리자 : 글쓰기
kwangguevara's Blog is powered by Daum & Tattertools / Designed by Tistory

티스토리툴바