네이버 계정 탈취 이슈 분석

난독화/이것 저것 2014. 7. 3. 14:54

q  개요

최근 해킹된 블로그를 유명 포털사이트(naver, daum, google)에서 검색 후 접속 시 악성코드 유포지로 이동하게 되는 일명자동납치방법(울지않는벌새님 블로그 인용)을 이용한 악성코드 유포가 빈번하게 발생하고 있습니다. 이 악성코드 유포 방법은 최근 많아지고 있는 악성코드 유포지를 자동으로 찾아주는 시스템들을 우회하기 위해 사용되는 것으로 판단됩니다. (주관적인 생각^^)

이번 분석보고서에서는 자동납치기능을 이용하여 대형 포털사이트의 ID, Password를 탈취하는 신규 피싱방법에 대해 다루어보겠습니다.

자동납치에 대한 설명과 사례는 울지않는 벌새님의 블로그에 잘 설명되어있으니 생소한 분들은 참조하시기 바랍니다.

- 울지않는벌새 블로그: http://hummingbird.tistory.com/5441

 

q  흐름도

[그림 1] 620일 발견된 자동납치 방법을 이용한 계정 유출 흐름도

[그림 2] URL 흐름도

q  Analysis

[그림 3]Naver에서 M사이트 검색 후 접속한 그림이다. M사이트 접속 시 302 리다이렉트되어 메인 페이지(goods_main.php )로 이동 후 여러 js파일들을 호출한다. JS 파일들은 모두 M 사이트에서 정상적으로 사용하는 것이며, 정상적으로 접속했을 때와 동일하다. 

[그림 3] 네이버 검색 후 변조된 사이트 접속

하지만 [그림 4]에서 보면 호출하는 js 파일 중 하나인 common.js의 일부 내용이 변조되어 추가된 것을 확인 할 수 있다.

[그림 4] common.js 파일 변조

변조된 내용을 확인해 보면, 먼저 cookie 값을 체크하여 “jumpoline” 문자열이 없으면 실행된다. 이를 체크하는 이유는 중복실행을 방지하기 위한 것으로 아래 부분에서 cookie 값에 “jumpoline~.~” 를 설정해 주는 것을 볼 수 있다. 이방법은 다동(공다팩) 등에서 많이 사용되고 있는 방법이다.

[그림 5]의 ① 부분을 보면 referrer 값을 ref 변수에 저장한다. 그리고 reg 변수에 “naver’ 문자열을 저장한다. ② 번 부분에서 referrer 값에 “naver” 문자열이 있는지 체크하기 위해서 이다. 그리고 referrer 값에 “naver”문자열이 포함될 경우 location.href 을 이용하여 특정 페이지로 이동하게 한다.

[그림 5] common.js 파일 변조 내용 상세

여기서 알아야 할 점은 referrer 값을 체크하고 “naver” 문자열이 존재할 경우만, 악의적인 페이지로 연결을 시킨다는 점이다. 이것은 네이버를 통해서(즉 네이버에서 검색 후 사이트에 온 경우) 접속한 경우만 악의적인 페이지로 연결시키는 것인데, 일반적으로 보다 많은 사람을 유도하기 위해 노력하는 악성코드 유포방법에 반하는 방법이다.

개인적으로는 악성사이트 및 위/변조 사이트를 찾아주는 자동화 시스템에 탐지되지 않기 위한 하나의 방법으로 최근에 많이 사용되는 것 같다.

[그림 6] referrer 값을 체크하여 naver, daum, google을 경유하여 접속한 사용자에게만 악성코드를 유포하는 방법에 사용된 스크립트 부분이다. indexOf를 사용하여 문자열이 없는 경우는 -1이기때문에 악성코드 유포지로 접근하지 않지만, 세 사이트 중 하나라도 있다면 악성코드 유포지로 접근하게 된다.

[그림 6] referrer 값을 체크하는 패턴

 

 

네이버에서 검색하여 M사이트에 접속한 사용자는 갑자기 [그림 7] 처럼 네이버 로그인 페이지가 열린다. 그림에서는 일부만 스크린샷 하였지만, 실제 네이버 로그인 페이지와 동일하게 구성되어있다. 일반사람이라면 조금 이상하지만 익숙한 페이지에 습관적으로 로그인을 할 것 같다 라고 생각되었다. 

[그림 7] NAVER 로그인으로 위장한 페이지

하지만 해당 페이지는 당연히 네이버로그인 페이지가 아니다. [그림 8]에서 보면 경로도 M사이트이며 다른 사이트를 접근했는데 네이버 로그인 이라니…(현대인의 정신 없는 점을 노린건가?)

[그림 8] NAVER 로그인으로 위장한 페이지 소스

로그인 페이지의 소스를 살펴보면 로그인 버튼을 누르면 동작하는 action 값이 네이버가 아닌 다른 사이트 인 것을 확인 할 수 있다.

[그림 9] NAVER 로그인으로 위장한 페이지 소스 상세

[그림 10]은 계정정보를 입력 후 로그인 시도를 했을 때, 네이버가 아닌 특정 URL 주소로 입력한 네이버의 ID Password를 전송하는 것을 확인 할 수 있다.

[그림 10] 특정페이지로 NAVER 계정정보 전송

최근에 유행하는 유명 포털사이트를 경유하여 변조된 사이트에 접근 시 악성행위가 동작하는 방법에 대해 알아보았다. 탐지하는 방법이 발전하는 것 만큼 우회하는 방법도 점점 지능화되고 있다는 생각을 하게 되었다.

우리는 이러한 환경에서 자신의 회사 또는 자산을 지키기 위해, 정보를 빠르게 수집하고, 자신의 보안환경에서 탐지하고 대응할 수 있도록 하는 것이 중요하다.

해당 이슈에 대해 아직 탐지 설정이 안되어 있다면, 본문에 나왔던 내용을 참고하여 경보설정해 보는 것을 추천한다.

'난독화 > 이것 저것' 카테고리의 다른 글

Xor Project  (3) 2014.04.21
SuNiNaTaS Clear!!  (0) 2014.03.27
오랫만에 풀어보는 Suninatas 해킹문제  (1) 2014.03.26
2014년 3월 볼라벤 보고서  (0) 2014.03.07
Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ  (1) 2013.11.17

설정

트랙백

댓글

광게바라의 난독화 문제 1번

 

kwangguevara_1번문제(Xor, hint_javascript)

 

난독화를 이용하여 해킹문제를 만들어 보았습니다.

 

제목: 다양한 난독화 기법

힌트: xor, javascript

 

설정

트랙백

댓글

Xor Project

난독화/이것 저것 2014. 4. 21. 09:10

C# 공부를하면서 처음 만들었던 툴입니다.

특정키 값으로 Xor된 쉘코드 분석시 활용할 수 있습니다. (말질라에도 동일한 기능이 있습니다)

 

악성파일의 경우 파일 전체가 xor된 경우가 있는데, 이럴때 말질라로는 전체를 Xor하면 시간이 많이 걸립니다. 이 툴은 말질라보다는 좀 더 빠르게 가능합니다.

 

* 별건 아니지만 받아가실 때 댓글하나가 글쓴이에게 큰 힘이 됩니다. ^^;;

 

Xor_project.zip

 

설정

트랙백

댓글

SuNiNaTaS Clear!!

난독화/이것 저것 2014. 3. 27. 12:41

마지막 blind SQL Injection 문제도 완료!!

 

인증 샷~ ㅎㅎ

 

 

설정

트랙백

댓글

오랫만에 풀어보는 Suninatas 해킹문제

난독화/이것 저것 2014. 3. 26. 20:25

사건/사고도 많고, 이직하는 사람도 많고, IT보안에 종사하는 사람들에게는 힘들고 뒤숭숭한 시기인 것 같네요.

저 또한 조금 그러한데요. 조금 방황하다가 다시 힘내야 한다는 생각에 재미있고(?) 잡생각을 날릴 수 있는 해킹문제 풀이를 해보았습니다. 역시 한번 시작하면 시간가는 줄 모르고 집중하고 있는 저를 보게됩니다.

 

힘들고 맘이 뒤숭숭한 분들은 한번씩 도전해보세요~ 신납니다....(부작용으로 암걸리 수 도있지만요^^;;) 

 

추천드리는 사이트는 Suninatas라는 사이트입니다.

아래 그림처럼 web, binary, forensic, system, misc 의 문제들로 이루어져 있고, 현재 28문제가 출제되어있습니다. (29,30은 빈문제)

 

예전에 15문제정도 풀다가 어려워서 미루어두었는데요. 신기하게 다시 도전하니 풀리는 문제가 많네요. 지금은 22, 23번을 빼고는 모두 풀었네요 (뿌듯...^^;;)

해킹 문제를 풀면서 좋은점은 몰라던 분야에 대해 공부하게되고, 알아가는 즐거움, 또한 몇 일씩 못풀다가 풀었을때의 짜릿함!! 그 것때문에 해킹문제를 푸는 것 같습니다.

 

해킹문제풀이를 안해보셨는데 시작하려면 친구나 지인과 함께 시작하시길 추천합니다. 혼자하다보면 막막함에 금방 지쳐버립니다. 하지만 가치하면 서로 경쟁심도 생기고(자랑질!! ^^;;열심히 하게하는 원동력!!) 도움도 주면서 재미있게 할수 있기 때문입니다.  

 

맘이 뒤숭숭하고 새로운것이 필요하다면 다들 ㄱㄱ!!

 

전 22, 23번 풀기위해 Blind SQL Injection 공부하러 갑니다. 예전에 공부했었는데 기억이 안나네요.ㅠㅠ

 

점수를 많이 올렸으니 인증샷 ~~ ㅎㅎㅎ 

 

 

'난독화 > 이것 저것' 카테고리의 다른 글

Xor Project  (3) 2014.04.21
SuNiNaTaS Clear!!  (0) 2014.03.27
2014년 3월 볼라벤 보고서  (0) 2014.03.07
Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ  (1) 2013.11.17
Cool exploit kit 흐름도  (1) 2013.06.22

설정

트랙백

댓글

2014년 3월 볼라벤 보고서

난독화/이것 저것 2014. 3. 7. 12:23

볼라벤 소모임의 열 여덜 번째 분석보고서가 나왔습니다.

 

제 블로그에도 소개했었던 1월이 발견된 Web EK에 대한 분석 보고서 입니다. 

 

우리나라에서도 잘알려진 Blockhole EK 와 유사한 방법과 구조를 가지고 있지만, 좀 더 복잡해진 난독화 기법 및 유포 방법이 특징입니다. 아마 새로운 툴킷으로 생각됩니다.

 

특히 이번분석보고서에는 기존에 간단하게 다루었던 Java 부분의 난독화 방법과 그것을 해제하는 방법에 대해 좀 더 자세하게 다루었습니다. 난독화 공부를 하거나 Web EK에 관심 있는 분들에게 도움이 되었으면 좋겠습니다

 

분석보고서 보러가기

 - http://thebolaven.tistory.com/entry/18차-문서-신종-Web-EK-분석-보고서

'난독화 > 이것 저것' 카테고리의 다른 글

SuNiNaTaS Clear!!  (0) 2014.03.27
오랫만에 풀어보는 Suninatas 해킹문제  (1) 2014.03.26
Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ  (1) 2013.11.17
Cool exploit kit 흐름도  (1) 2013.06.22
dadong's 0.44 Decoding Tool  (0) 2013.03.15

설정

트랙백

댓글

Web EK에서 주로 사용하는 자바 난독화 기법

난독화/난독화 강좌 2014. 3. 3. 18:53

Web EK 에서 가장많이 이용되는 취약점은 Java 일 것이다. 악성코드 유포에 이용되는 jar 파일을 분석해보면 자바스크립트 처럼 난독화되어 있다. 하지만 대부분은 자바스트립트 그 것에 비해 단순하게 난독화되어 있다

오늘은 blackhole EK 등에서 Java 취약점 부분에 이용되는 재미있는 난독화 기법을 알아보겠다.

 

아래그림은 2014년 1월 경에 수집한 악성코드 샘플이다. 

상황은 위/변조된 사이트에 접속 후 악성코드 유포 Landing 페이지로 이동되었으며, 악성 Jar 파일을 다운로드한다. 해당 PC는 취약점이 존재하야 이후 악성코드까지 다운로드된 화면이다. 

 (fiddler2를 이용하여 저장해 놓으면 분석시 유용하게 사용할 수 있다)  

[그림 1] 악성코드 유포 샘플

 

분석을 위해 landing 페이지와 jar 파일을 저장한다. fiddler2 - save - response - Response Body .. 로 저장하면 원하는 파일만 쉽게 저장할 수 있다

[그림 2] 악성파일 저장

 

[그림 3]은 lading 페이지의 자바 부분이다. PlugingDectector로 버전 체크 후 asfwe 함수에서 자바의 버전에 따라 applet이 동작한다. JNLP취약점을 이용하기 위한 부분인데 첫 번째 부분으로 난독화 기법을 알아보겟다 (난독화 기법은 모두 동일하다)

[그림 3] Landing Page (java 부분)

 

첫번째 부분만 보면 [그림 4]와 같다. 여기서 파라미터 값 중 ldcrlio 값을 보면 이상한 문자열로 되어있다. 언듯보아서는 해석할 수 없다. 하지만 이부분이 악성파일 다운로드 URL로 변한다.

이부분이 URL로 변화는 과정을 알아보는 것이 이번블로깅에 포인트 이다.   

[그림 4] applet

 

Jar 파일을 Decompiler로 열어보면 상당히 많은 class를 가지고 있다. 첫번째 class는 HTML의 파라미터를 받아오는 역활을하고, 마지막 class는 악성코드를 다운로드/실행 및 레지스트리에 등록하는 역활을 한다. 그리고 나머지 부분은 마지막 난독화된 페이지가 동작할 수 있도록 복호화하는 역활을 하게 된다.

우리의 목적은 ldcrlio 값을 복호화하는 것이므로 해당 부분만 보도록 하겠다. 아래그림에서 2번 부분이 우리가 복호화하고자 부분의 Key 값이 있는 부분이다.

[그림 5] jar 파일

 

위 그림의 3번 부분 중에서 key 값이 있는 부분만 정리해보면 아래의 그림과 같다. 이부분 역시 난독화 되어있으며, ddr_uuidjadisl class에 있는 vb~~dgra 함수를 통하여 복호화된다

[그림 6] Key 값 확인

vb~~dgra 함수는 [그림 7] 처럼 replace메소드를 이용하여 특정 문자열을 지우는 역활을 한다. paramInt = 1 일때 와 paramInt = 2 일때는 모두 복호화 하면 길이가 동일한 두 문자열을 얻을 수 있다.   

[그림 7] Key 값 복호화

 

이문자열들은 [그림 4]의 ldcrlio 값을 URL로 복호화 해주는 Key 이다.

ldcrlio 값은 두 문자열을 이용하여 단일치환암호 방식으로 난독화 된 데이터 인것 이다.

볼라벤툴의 단일치환암호 디코더를 이용하여 복호화해보면 최종 목적지 URL을 확인할 수 있다. ( 암호 문자열은 광게바라 블로그로 변경하였다. )

 

[그림 8] 단일 치환 암호 복호화

 

[그림 9]은 암호화된 문자열이 복호화되는 과정을 설명한 그림이다. (단일치환암호 방식)

 

[그림 9] 단일 치환 암호 복호화 원리

 

이번블로깅의 목적인 ldcrlio 값을 URL로 변경하였다.

끄 읕~ ~~~

이아니라 자바스크립 난독화를 공부하는 블로그이니 자바스크립트를 이용하여 단일치환암호를 풀어보겟다.

 

[그림 9] 는 단일 치환함호를 푸는 자바스크립트 코드다. 생각보다 쉽고 간결하게 만든것 같다.

a 부분에 난독화된 데이터를 넣고 b와 c에 키값 1, 2를 넣으면 문자열로 찍힌다.

[그림 9] 단일 치환 암호 복호화 스크립트 소스

 

* 자바스크립트 소스 

<script>

  a = "AhhjyHH0QE779npfEiE8hcthois8uoaHrx";
  aa = a.split("");
  b = "lxwLGr43qDEvuYp59AcU0ba7ojzithnfQOsC8NXRM6TeISV-_%.&/:#?=dWgmKFHyBk2ZPJ1";

  c = "0123456789abcdefghijklmnopqrstuvwxyz.ABCDEFGHIJKLMNOPQRSTUVWXYZ/:_-?&=%#";
  cc = c.split("");

  for (i=0;i<a.length;i++)
  {
     j = b.indexOf(aa[i]);
     document.write(cc[j]);
  }
</script> 

설정

트랙백

댓글

[신종 툴킷 발견] blackhole EK 3.0 ?? 신종 EK??

난독화/난독화 강좌 2014. 1. 14. 13:32

최근 Blackhole EK와 비슷하지만 다른 툴킷을 탐지하여 분석하고 있다.

상세분석은 볼라벤 분석보고서로 1월 중 배포 예정이다. 오늘은 전반적인 흐름에 대해 알아 보자  

 

큰 틀은 Blackhole EK와 비슷한데 Landing 페이지나 PDF 난독화 등의 부분에서 다르다. 때문에 Blackhole의 변종이거나, 새로운 툴킷 일 가능성이 높다

 * Landing Page: 해외 유명 분석가들이 웹툴킷의 메인 부분을 이렇게 불러서 따라해본다 ^^;;

전반적인 흐름은 [그림 1]과 같다 

 

 [그림 1] 전체 흐름도

 

실제 악성코드 접근 URL은 아래와 같다 (실유포지는 가릴수 뿐이 없다...양해바란다) 

 [그림 2]  접근 URL 상세정보

 

■ Landing Page 분석

Landing Page을 간단하게 살펴보자 (윗쪽은 간단하여 생략하여, 추후 분석보고서를 참조하길 바란다.)

Landing Page의 소스는 [그림 3]과 같다 기존의 블랙홀 툴킷과는 조금 다른 형식으로 되어있다. 하지만 일반적으로 툴킷에서 사용하는 공격코드를 난독화 해놓은 긴 코드와 그것을 풀어주는 복호화 함수 부분으로 구성되어있다.

 

[그림 3] Landing Page

 

기존과 다른점은 복호화 함수부분을 보기 어렵게하기위해 자바스크립트를 더 많이 꼬아 놓았으며, 불필요한 값들을 집어 넣어 기존의 툴킷보다 좀 더 어려워보인다.

 

 

하지만 자세히 보면 결국 key값을 찾을 수 있고, "document.write("<xmp>"+ 키값 + "<xmp>");"를 이용하여 복호화 할 수 있다.

 

복호화를 성공하면 아래 [그림 4]를 확인 할 수 있다.

 

[그림 4] Landing Page 복호화

 

[그림 4]의 복화화된 코드를 보면 ① 부분에서 Plugindetect (자바나 PDF의 버전정보 수집)가 확인할 수 있고 ② 부분에서 PDF와 JAVA취약점 공격 코드를 확인 할 수 있다.

* 기존으 blackhole EK 2.0은 Plugindetect 0.7.6 버전을 사용하였고, Cool EK는  0.8.0을 사용하였는데 해당 EK는 0.8.3을 사용한 것으로 보아 이후 만들어진 것으로 판단된다.

 

 

■ PDF 분석

악성 PDF에 대해 분석해 보자. PDF분석은 툴킷마다 해보아서 익숙했지만, 이번 것은 한번 더 생각해서 풀어야했다. 그만큼 더러웠다? (자바부분은 추후 배포되는 분석보고서를 참고 바란다.)

 

PDF 스트림덤퍼로 분석해 보았다.

각 Object 를 확인해보면 의심스러운 부분이 세 곳 확인된다.

[그림 5] 의심 오브젝트 1

 

[그림 6] 의심 오브젝트 2

 

[그림 7] 의심 오브젝트 3

 

의심 오브젝트1, 2는 난독화된 데이터 코드로 의심스럽지만, 자바스크립트는 아닌 것으로 보아 데이터 형식으로 쓰일 것으로 생각되었다 

 

먼저 오브젝트 3의 자바스크립트를 분석해 보자!

PDF에 삽입된 자바스크립트를 분석하기 위해서는 변수나 일부 양식을 형식에 맞도록 변경해 주거나 정리해 주어야한다.

아래 [그림 8]에서 빨간박스 변수 부분은 자바스크립트에서는 확인되지 않는다 때문에 실행시 오류가 발생한다. PDF 구조를 살펴보면 해당 변수가 [그림 5], 와 [그림 6]을 가리키고 있는 것을 찾을 수 있다. 

 

[그림 8] PDF에 삽입된 자바스크립트

 

보기 어렵게 함수와 이상한 변수로 코딩된 [그림 8]의 자바스크립트를 해석하여 정리하면 [그림 9] 처럼 정리할 수 있다. 

[그림 9] 자바스크립트 난독화 정리

 

정리된 스크립트를 이용하여 난독화된 데이터 부분을 복호화하면 [그림 10]의 자바스크립트를 확인 할 수 있다.

기존의 웹툴킷에서 사용하던 PDF 코드보다 복잡해 보이지만 분석해보면 역시 악성행위를 하는 쉘코드 부분과 오버플로어를 일으키는 부분을 만들어 내는 자바스크립트이다.

빨간 박스부분은 실제 악성행위를하는 쉘코드 부분으로 바쁠때는 해당 부분만 분석하기도 한다.

[그림 10] 자바스크립트 난독화 해제

 

[그림 11]은 쉘코드 부분을 scdbg를 이용하여 간단하게 분석해 본것이다.  

[그림 11] 자바스크립트에 포함된 쉘코드 분석 

 

신종 툴킷으로 보이는 툴킷을 간단하게 분석해 보았다. 간략히 소개하느라 빼먹은 부분이 많다. 자세한 분석내용은 bolaven 분석보고서로 작성되면 참고 바란다.

 

*  게을러서 이제야 글을 올리게 되었지만, 해다 샘플은 지난 9일에 탐지되엇다. 

 

설정

트랙백

댓글

[11] 난독화를 풀어라!!!

난독화/난독화 강좌 2013. 12. 7. 15:11

[문제] 아래의 3개의 파일과 다운로드 경로가 주어졌다. 해당 파일들을 분석하여 악성코드 다운로드 경로를 찾아보자!

[그림 1] 의심파일 다운로드 확인

 

1. 파일 시그니처(매직넘버) 확인

 

1.1 HxD를 이용한 파일 시그니처(매직넘버) 확인

확장자는 swf 이지만 HxD를 통해 확인 결과 3개 모두 자바스크립트 파일로 확인되었다.

[그림 2] 파일시그니처 확인

 

2. 악성코드 유포지 추가 파일 다운로드

3개의 파일은 모두 js 파일의 형태를 가지고 있으며 각각은 동작할 수 없는 구조였다

3개의 js 파일을 불러 사용하는 메인페이지가 있을 것으로 예상되어, wget을 이용하여 추가 파일을 다운로드 시도해 보았다. 그 결과 4개의 파일이 다운로드 되었는데, 3개는 기존의 파일들이고 나머지 하나는 3파일을 합쳐주는 메인 페이지(index.htm) 였다

[그림 3] wget을 이용한 파일다운로드

 

Index.htm 파일은 3개의 스크립트 파일을 불러와 합쳐주는 간단한 구조였다

[그림 4] main.html 소스코드

 

3. 상세 분석

3.1 난독화 구조도

 - 파일들을 재구성해보면 아래와 같은 구조를 가지고 있다

[그림 5] 구성도

 

    해석을 힘들게 하기 위해 쓰레기 값(사용하지 않는 값)들이 다수 포함되어 있다.

    버퍼 오버플로우를 일으키기 위해 shellcode와 임의의 코드를 조작한다.

    MPEG2TuneRequest 취약점을 이용하여 오버플로우가 일어나고 Shellcode가 동작한다

 

  MPEG2TuneRequest 취약점 공격 관련 정보

 - http://ahnlabasec.tistory.com/337

- http://www.hostinglove.com/bbs/board.php?bo_table=preservation&wr_id=139

 

3.2 Shellcode 분석

MPEG2TuneRequest 취약점 공격을 하는 목적은 결국 Shellcode 부분을 실행하기 위해서다. 공격자의 의도를 파악하기 위해서 Shellcode 분석을 하자

 

일반적으로 스크립트에 Shellcode 포함된 경우

    HEX 값으로 변환 후 스트링(문자) 값 확인

    HEX 값으로 변환하고 말질라를 이용하여 Xor Key 값을 확인 및 Xor 연산 후 스트링 값 확인

위의 두 가지 방법으로 확인 할 수 있다.

 

* 이러한 패턴의 shellcode의 경우 일반적으로 특정 웹사이트에 접속 후 추가 악성코드를 다운받는 행위를 한다. 때문에 http 문자열을 이용하여 Xor key값을 찾는다

 

3.2.1 Malzilla를 이용한 Shellcode 분석

Shellcode를 입력하고 UCS2 To Hex 버튼을 눌러 Hex 값으로 변환한다

[그림 6] Shellcod to HEX

 

USC2 to Hex: %u를 지우고 4자리 기준으로 앞 두 자리와 뒤 두 자리를 바꾸어 주는 기능

 

Hex view 탭으로 이동하여 Hex의 스트링 값을 확인한다. ([그림 7] 참조

è  해당 샘플에서는 스트링 값에서 아무것도 확인할 수 없었다

 

XOR 연산하여 스트링 값을 찾아주는 기능을 이용하여 key 값을 찾아본다

è  해당 샘플에서는 Key 값이 확인되지 않았다

[그림 7] Malzilla를 이용한 Xor Key값 확인 시도

 

▶ 이 Shellcode는 기본 XOR 변환이 아닌 다른 방법으로 되어 있는 것으로 판단된다

 

3.2.2 Shellcode to EXE (쉘코드를 실행파일로 변환)

Malzilla로 확인되지 않은 경우, Shellcode를 실행파일(EXE)로 만들어 동적 분석을 하는 것이 좋다.

이때 리버싱 스킬이 필요한데 Shellcode의 경우는 특성상 짧고 간결하게 제작되어 있기 때문에 약간의 분석 스킬만 있다면 대부분의 샘플은 분석 가능하다

 

아래주소는 Shellcode EXE 파일로 변환해 주는 가장 유명한 사이트이다

- http://sandsprite.com/shellcode_2_exe.php

 

사이트에 접속 후 [그림 7]처럼 Shellcode를 빈칸에 넣은 후 submit 버튼만 누르면 shellcode.exe_ 파일로 변환해 준다

[그림 8] Shellcode to EXE 사이트

 

3.3 shellcode.exe_ 파일 분석

 

3.3.1 PE 구조 확인  

실행파일을 Stud_PE를 이용하여 간단히 살펴보면 Silvana로 패킹이 된 것을 확인할 수 있다

[그림 9] silvana 패킹 확인

 

3.3.2 Ollydbg를 이용한 동적 분석

Shellcode.exe_파일을 Ollydbg로 열면 [그림 10]를 확인할 수 있다

[그림 10] Ollydbg open

 

[그림 10]에서 XOR 연산하는 루프문을 찾을 수 있다. , 반복해서 특정 값을 XOR 연산한다

우리는 이 부분을 자세히 볼 필요가 있다

 

어셈명령어 중 LOOPD ECX값을 -1 하면서 ECX가 제로가 될 때까지 루프를 도는 명령어이다. 그렇다면 루프문이 끝나는 조건인 ECX값은 어디서 구할까?


 

[그림 11] ECX 값 확인

 

[그림 11]의 빨간색 박스 안에 있는 어셈코드를 해석하면 ECX값을 구할 수 있다.

0x00401010주소에 있는 어셈명령어(MOVZX[1])를 해석해보면 ECXAL(B1)값을 복사하고 있다. 하지만 ECX값은 0xB1이 아닌 0x3B1이 된다. 그 이유는, 다음 줄의 0x00401013주소에 있는 어셈명령어(OR) 때문이다. 여기서 유의할 점은 CL이 아닌 CH라는 것이다.

 

 

ECXOR연산을 통해 0x3B1이 되며 하나씩 감소하면서 제로가 될 때까지 루프를 돌게 된다.

[그림 12]에서 EDI (복호화 할 주소)에 특정 값(DL) Xor하는 것을 확인할 수 있다. 이때 Xor 값은 계속 바뀐다 (malzilla에서 xor 값을 못찾는 이유!)

[그림 12] 복호화 구조

 

루프카운터 값이 0이 되면 0x00401140 주소에서 복호화 된 값을 확인 할 수 있다.

[그림 13] Xor 복호화

 

이러한 복호화 과정을 끝나고 나면 최종 다운로드 주소를 확인 할 수 있다.

[그림 14] 최종 악성코드 유포지 확인

 

※ 확인된 URL은 다운로드 되지 않아 추가분석 불가!

 


[1] MOVZX(Move Zero Extend) : MOV 제로

설정

트랙백

댓글

[10] Red Kit 의 재미있는 난독화

난독화/난독화 강좌 2013. 11. 27. 03:56

Red Kit randing page에 사용된 난독화 방법 중 일부를 분석해 보자

 

Red Kit에 대해 간단히 소개하면 Blackhole EK 만큼이나 유명한 Web Exploit Tool Kit으로 자바취약점과 PDF 취약점을 이용한다. Red Kit은 이미 2012년부터 Red Kit을 이용한 악성코드 유포가 국내에서도 발견되고 있다고 한다. 

 

Red Kit관련 자료는 아래의 블로그들을 참조바란다.

Malware Must Die 블로그: http://malwaremustdie.blogspot.kr/2012_12_01_archive.html

Mcafee 블로그: http://blogs.mcafee.com/mcafee-labs/red-kit-an-emerging-exploit-pack

Hakawati Security Lab 블로그:

http://hidka.tistory.com/entry/Redkit-Exploit-Tool-Redkit-Landing-Page에-관한-정보

--------------------------------------------------------------------------------------------------

 

아래는 Red Kit randing page의 소스코드 일부이다. Jar 파일과 PDF 파일을 쉽게 확인할 수 있다.

하지만 작년 자료이기 때문에 해당 파일들을 구할 수는 없었다

[그림.1] Red Kit randing page

 

[그림.2] 는 오늘 난독화 공부를 할 부분이다.

[그림.2] 자바 취약점 난독화 데이터 부분

 

자세히 보면 자바 부분의 value 값에서 이상한  점을 발견할 수 있다. 

이 패턴은 Blackhole EK에서 자바 부분에 난독화된 데이터를 value값으로  삽입하는 것과

비슷해 보였다. 내 생각이 맞다면 jar파일 안에는 이부분을 복호화하는 스크립트가 있을 것이다.

 

하지만 JAR 파일을 구할 수 없으니 무식하게 복호화 해보기로 하자

[그림.2] 를 자세히 보면 llobapop 가 반복적으로 사용되는 것을 알 수 있다. 난독화된 데이터에서 이런 경우 대부분이 해당 패턴은 사라진다. (물론 여기서는 추측이다.)

 

llobapop 을 모두 제거하면 [그림.3]의 처럼, llobapop 을 공백으로 바꾸어 주면 [그림.3]의 처럼 되는 것을 확인 할 수 있다.

[그림.3] 말질라를 이용한 특정 패턴 제거

 

JAR파일이 없기 때문에 더이상 진도가 나가지 않았다. 하지만 구글링을 통하여 해당 부분의 복호화 정보를 얻을 수 있었다.

힌트는 llobapop 을 제거 후 3자리씩 쪼개진 데이터에서 첫번째 문자만 남기고 제거한다. 그리고 남은 문자들을 거꾸로(reverse) 정렬하면 복화화된 데이터를 얻을 수 있었다

[그림.4] 첫 번째 문자를 추출 후 거꾸로 정렬

 

간단한 스크립트를 이용하여 구현해 보았다. 

 [그림.5] 첫번째 문자만 남기고 거꾸로 정렬하는 스크립트

 

 [그림.6] 스크립트실행시 결과

 

복호화 결과 추가 접근하는 URL 정보를 얻을 수 있었다. (끝...;;)

 

오늘의 미션!!

JAR 파일에 포함되어 있을 복호화 스크립트를 자바스크립트로 구현해 보자

- value 값을 한번에 복호화하는 스크립트

 <script>

function redkit_de(s){
a = s.replace(/llobapop/g," ");    //-- llobapop 를 모두 찾아 " "으로 변환
a = a.split(" ")  //-- a를 배열로 나누기
b = ""; 

for (i=0;i<a.length;i++){b += a[i].substring(0,1);}   // a의 첫번재 문자들을 b 변수에 저장
c = b.split("").reverse().join("");  //-- b의 값을 거꾸로 정렬하여 c 변수에 저장
alert(c); 

}

redkit_de("복호화할 데이터 넣는 부분");  //-- redkit_de 함수 실행

</script>

 

 

* 연습용 샘플

mynllobapopoynllobapopcgbllobapop.ecllobapopyqtllobapoprnnllobapopocellobapo

ptssllobapopsefllobapopiefllobapopt22llobapop.qwllobapopahtllobapoprhwllobapop

ar3llobapopvntllobapopeajllobapopuhtllobapopgljllobapopgbvllobapopnfellobapopae

allobapopwefllobapopkdwllobapop/d2llobapop/3fllobapop:42llobapoppefllobapopt21

llobapopt32llobapophfellobapop

 -> 연습용 샘플을 복호화 할 데이터 부분에 넣으면 동작하는 것을 테스트 할수 있습니다.

    연습용 샘플은 연습할 수 있도록 만든 것으로 악성코드가 아닙니다.
 

 

 

 

설정

트랙백

댓글