글
Blackhole EK sample analysis 1
## 해당 내용은 2012년 11월 볼라벤소모임 활동을 하면서 분석한 내용입니다.
q 개요
2012년 9월 Blackhole Exploit Toolkit의 최신버전인 Ver2.0에 대한 정보가 해외 보안사이트에서
확인 되었습니다. 그리고 9월 말 국내에서 Blackhole Exploit Toolkit 2.0을 이용한 악성코드 유포로
의심되는 이벤트가 발생되어 분석 및 공유합니다
[그림 1. Blackhole Exploit Toolkit 정보]
[ Blackhole Exploit Toolkit 2.0 참고 사이트 ]
http://malware.dontneedcoffee.com/2012/09/blackhole2.0.html#!/2012/09/blackhole2.0.html
q 악성코드 유포 흐름
1. 악성코드 유포 흐름도
- 해커가 Webhosting 업체를 장악 후 서비스를 받는 하위 웹사이트들을 이용하여 악성코드 유포
[그림 2. 악성코드 유포 흐름도]
√ 해커가 웹 호스트 업체 서버 장악 및 악성코드 유포지 선점
√ 사용자가 해당 업체에서 서비스 받는 웹사이트 접속 시 악성코드 유포지로 이동 (302 Redirection)
√ 악성코드 유포지로부터 악성파일이 설치되어 개인정보 유출
2. 확인된 악성코드 유포지 LIST (2012년 10월 기준)
[그림 3. 악성코드 유포지 현황]
q 악성코드 분석
1. 요약
[그림 4. 악성코드 흐름도]
② blank.php 코드의 특정조건(port:80 등)에 맞으면 악성코드 유포지(Index_old.php)로 302 redirect
시키고, 다르면 정상페이지로 이동
☞ paros 등을 사용하여 분석 시 어렵게 하기 위한 행위로 추정
③ Index_old.php 코드에 의해 navigator.useragent 환경을 체크하여 복호화 수행
④ Index2.php 코드는 러시아 성인사이트로 접속과 동시에 다양한 취약점을 내포하고 있는 main.php (blackhole exploit toolkit) 코드로 이동
⑤ main.php 코드는 Java, PDF 취약점 존재 시 최종 악성파일을 다운받아 실행되도록 구현
⑥ 최종 악성파일(info.exe) 감염 시 외부로 SMTP 트래픽을 발생
'Web Exploit Kit > Blackhole EK' 카테고리의 다른 글
| Blackhole EK sample analysis 3 (0) | 2013.11.18 |
|---|---|
| Blackhole EK sample analysis 2 (0) | 2013.11.18 |
글
Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ
오랫만에 들어간 Kahu Security 에서 "Deobfuscating Magnitude Exploit Kit" 글을 보았다.
Magnitude EK 처음 보는 툴킷인데 이미 해외에서는 유명한 것 같다
분석내용을 보면 자바스크립트 부분은 간단해보이고, 자바 부분이 좀 복잡해 보이고 상당히 재미있어 보인다
이런건 분석해보아야 한다!!! 그래서 샘플구하려고 구글과 jsunpack 최근 샘플 다 찾아보았다.
OTL 2시간 뻘짓하고 살포시 포기했다.
혹시라도 Magnitude EK 샘플 구하신 분은 공유 부탁드립니다. 꾸벅!!
카후시큐리티 Magnitude EK 분석 바로가기
- http://www.kahusecurity.com/2013/deobfuscating-magnitude-exploit-kit/
'난독화 > 이것 저것' 카테고리의 다른 글
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
|---|---|
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Cool exploit kit 흐름도 (1) | 2013.06.22 |
| dadong's 0.44 Decoding Tool (0) | 2013.03.15 |
| phpMyAdmin 취약점 웹서버 스캐닝 툴 ZmEu (0) | 2013.02.26 |
글
자바스크립트 정리 7 (이벤트)
## 이벤트
1. 이벤트 뛰우기 예제
ex1) 버튼 클릭시 경고창 뜨는 예제
<html>
<head>
<script>
function test(){
alert("goodjob!!");
}
</script>
</head>
<body>
<input type="button" value="click" onclick="test();"/>
</body>
</html>
ex2) 버튼 누르면 구구단의 9단을 반복하도록 하는 예제
<html>
<head>
<script>
var test=0;
</script>
</head>
<body>
<input type="button" value="click" onclick="i=9;test++;result=test*i;alert('9곱하기'+test+'는'+result);" />
</body>
</html>
=> 누를때 마다 구단 진행
2. 이벤트 종류
- 클릭
1) 클릭 이벤트: onclick (대부분 지원)
2) 더블클릭 이벤트: ondblclick (대부분 지원)
- 포커스
3) 포커스를 얻을때: onfocus (<button>, <input>, <label>, <select>, <textarea>, <body>)
4) 포커스를 읽을때: onblur (<button>, <input>, <label>, <select>, <textarea>, <body>)
ex) 포커스 얻을때, 읽을때
<html>
<body>
<input type="textaea" onfocus="alert('on')" onblur="alert('off')" />
</body>
</html>
- 마우스
5) 마우스 버튼 늘렀을때 : onmousedown (대부분 지원)
6) 마우스 버튼 땟을때 : onmouseup (대부분 지원)
7) 마우스 움직였을때 : onmousemove (대부분 지원)
8) 마우스를 요소밖으로 움직였을때 : onmouseout (대부분 지원)
9) 마우스를 요소위로 움직였을때 : onmouseover (대부분 지원)
## 더 많은 자바스크립트 이벤트 보기 ↓↓↓↓↓↓↓
▶ http://www.technote.co.kr/php/technote1/board.php?board=apple2&command=body&no=257
'난독화 > 자바스크립트 공부' 카테고리의 다른 글
| 자바스크립트 정리 8 (정규표현식) (0) | 2013.11.26 |
|---|---|
| 자바스크립트 정리 6 (객체) (0) | 2013.11.16 |
| 자바스크립트 정리 5 (함수) (0) | 2013.11.15 |
| 자바스크립트 정리 4 (배열) (0) | 2013.11.13 |
| 자바스크립트 정리 3 (반복문) (0) | 2013.11.13 |