[신종 툴킷 발견] blackhole EK 3.0 ?? 신종 EK??

난독화/난독화 강좌 2014. 1. 14. 13:32

최근 Blackhole EK와 비슷하지만 다른 툴킷을 탐지하여 분석하고 있다.

상세분석은 볼라벤 분석보고서로 1월 중 배포 예정이다. 오늘은 전반적인 흐름에 대해 알아 보자  

 

큰 틀은 Blackhole EK와 비슷한데 Landing 페이지나 PDF 난독화 등의 부분에서 다르다. 때문에 Blackhole의 변종이거나, 새로운 툴킷 일 가능성이 높다

 * Landing Page: 해외 유명 분석가들이 웹툴킷의 메인 부분을 이렇게 불러서 따라해본다 ^^;;

전반적인 흐름은 [그림 1]과 같다 

 

 [그림 1] 전체 흐름도

 

실제 악성코드 접근 URL은 아래와 같다 (실유포지는 가릴수 뿐이 없다...양해바란다) 

 [그림 2]  접근 URL 상세정보

 

■ Landing Page 분석

Landing Page을 간단하게 살펴보자 (윗쪽은 간단하여 생략하여, 추후 분석보고서를 참조하길 바란다.)

Landing Page의 소스는 [그림 3]과 같다 기존의 블랙홀 툴킷과는 조금 다른 형식으로 되어있다. 하지만 일반적으로 툴킷에서 사용하는 공격코드를 난독화 해놓은 긴 코드와 그것을 풀어주는 복호화 함수 부분으로 구성되어있다.

 

[그림 3] Landing Page

 

기존과 다른점은 복호화 함수부분을 보기 어렵게하기위해 자바스크립트를 더 많이 꼬아 놓았으며, 불필요한 값들을 집어 넣어 기존의 툴킷보다 좀 더 어려워보인다.

 

 

하지만 자세히 보면 결국 key값을 찾을 수 있고, "document.write("<xmp>"+ 키값 + "<xmp>");"를 이용하여 복호화 할 수 있다.

 

복호화를 성공하면 아래 [그림 4]를 확인 할 수 있다.

 

[그림 4] Landing Page 복호화

 

[그림 4]의 복화화된 코드를 보면 ① 부분에서 Plugindetect (자바나 PDF의 버전정보 수집)가 확인할 수 있고 ② 부분에서 PDF와 JAVA취약점 공격 코드를 확인 할 수 있다.

* 기존으 blackhole EK 2.0은 Plugindetect 0.7.6 버전을 사용하였고, Cool EK는  0.8.0을 사용하였는데 해당 EK는 0.8.3을 사용한 것으로 보아 이후 만들어진 것으로 판단된다.

 

 

■ PDF 분석

악성 PDF에 대해 분석해 보자. PDF분석은 툴킷마다 해보아서 익숙했지만, 이번 것은 한번 더 생각해서 풀어야했다. 그만큼 더러웠다? (자바부분은 추후 배포되는 분석보고서를 참고 바란다.)

 

PDF 스트림덤퍼로 분석해 보았다.

각 Object 를 확인해보면 의심스러운 부분이 세 곳 확인된다.

[그림 5] 의심 오브젝트 1

 

[그림 6] 의심 오브젝트 2

 

[그림 7] 의심 오브젝트 3

 

의심 오브젝트1, 2는 난독화된 데이터 코드로 의심스럽지만, 자바스크립트는 아닌 것으로 보아 데이터 형식으로 쓰일 것으로 생각되었다 

 

먼저 오브젝트 3의 자바스크립트를 분석해 보자!

PDF에 삽입된 자바스크립트를 분석하기 위해서는 변수나 일부 양식을 형식에 맞도록 변경해 주거나 정리해 주어야한다.

아래 [그림 8]에서 빨간박스 변수 부분은 자바스크립트에서는 확인되지 않는다 때문에 실행시 오류가 발생한다. PDF 구조를 살펴보면 해당 변수가 [그림 5], 와 [그림 6]을 가리키고 있는 것을 찾을 수 있다. 

 

[그림 8] PDF에 삽입된 자바스크립트

 

보기 어렵게 함수와 이상한 변수로 코딩된 [그림 8]의 자바스크립트를 해석하여 정리하면 [그림 9] 처럼 정리할 수 있다. 

[그림 9] 자바스크립트 난독화 정리

 

정리된 스크립트를 이용하여 난독화된 데이터 부분을 복호화하면 [그림 10]의 자바스크립트를 확인 할 수 있다.

기존의 웹툴킷에서 사용하던 PDF 코드보다 복잡해 보이지만 분석해보면 역시 악성행위를 하는 쉘코드 부분과 오버플로어를 일으키는 부분을 만들어 내는 자바스크립트이다.

빨간 박스부분은 실제 악성행위를하는 쉘코드 부분으로 바쁠때는 해당 부분만 분석하기도 한다.

[그림 10] 자바스크립트 난독화 해제

 

[그림 11]은 쉘코드 부분을 scdbg를 이용하여 간단하게 분석해 본것이다.  

[그림 11] 자바스크립트에 포함된 쉘코드 분석 

 

신종 툴킷으로 보이는 툴킷을 간단하게 분석해 보았다. 간략히 소개하느라 빼먹은 부분이 많다. 자세한 분석내용은 bolaven 분석보고서로 작성되면 참고 바란다.

 

*  게을러서 이제야 글을 올리게 되었지만, 해다 샘플은 지난 9일에 탐지되엇다. 

 

설정

트랙백

댓글