보안초보 광게바라

5) main.php (wkxxxk.in/main.php)

- Blackhole Exploit Toolkit 2.0의 Main으로 세 부분의 코드로 구분하여 확인

• 첫 번째 부분: “frame1.php” 페이지로 이동시키는 부분

• 두 번째 부분: PDF 취약점을 이용한 악성파일 다운로드 시도     

• 세 번째 부분: java 취약점을 이용한 악성파일 다운로드 시도

▶ 첫 번째 부분 분석

 ≫ “blank.php” 와 동일한 패턴으로 난독화되어 있으며, “frame1.php” 페이지로 유도

A. 난독화 코드의 key 값을 찾은 후 “docment.write”를 이용하여 난독화 해제

    - “%(HEX값) %(HEX값)… “ 형태의 쉘코드 값을 확인

[그림 9-1. main.php 첫 번째 부분 난독화]

B. A에서 얻은 결과값에서 “%”를 모두 제거 후 malzilla Tool을 이용하여 XOR 연산

 - malzilla Tool을 사용하여 “http” 문자열의 Key 값을 찾아 XOR 연산

   - iframe 태그로 “wkmyk.in/frame1.php?src=14…” 연결 확인

[그림 9-2. main.php 첫 번째 부분 난독화]

≫ frame1.php 분석: “frame1.php”는 “특정페이지로 접속을 시도하는 부분과 취약점을 이용하여  쉘코드를 실행하는 두 부분으로 이루어져 있다

A. iframe 태그를 이용하여 “frame2.php”으로 연결을 시도

  ⇒ “frame2.php “ 접속 시 해당페이지는 존재하지 않음 (404 Not Found)

[그림 10-1. frame1.php 소스]

B. 취약점을 이용하여 쉘코드를 실행시키는 것으로 추정되지만, 코드가 손상되어 재현되지 않음

[그림 10-2. frame1.php 소스]

▶ 두 번째 부분 분석 (PDF 취약점)

 ≫ PDF 취약점을 이용한 ~/content/ap2.php (e8a11.pdf) 파일이 실행되어 악성코드에 감염

 A. PDF 파일에 삽입된 난독화 코드 복호화

[그림 11. ap2.php 복호화 과정]

▶ 세 번째 부분 분석 (Java 취약점)

- Java 취약점이 존재할 경우 Gam.jar 파일과 value 값을 이용하여 악성코드 유포지로 이동

- 제작자가 자신만의 키 값을 이용하여 value 값을 난독화

- “Secret Decoder Ring” Tool을 사용하여 악성코드 유포지 확인

[그림 12. main.php 세 번째 부분 난독화]

☞ Key값은 해당 툴을 이용하여 이미 알려진 정보(value값과 악성코드 유포지)를 역 분석하여 찾을 수 있음

※ 블로그의 특성상 난독화 부분만 다루었다. 전체 분석보고서는 아래의 볼라벤소모임 블로그에서 다운로드

   가능합니다

   - http://thebolaven.tistory.com/entry/4차-문서-blackhole-exploit-toolkit-20-분석

1.    요약

[그림 1. 악성코드 흐름도]

 ①   사용자가 위/변조된 사이트(gxxxxx.co.kr/index.html) 접속 후 Blank.php 페이지 접속

②   blank.php 코드의 특정조건(port:80 등)에 맞으면 악성코드 유포지(Index_old.php)로 302 redirect 

    시키고, 다르면 정상페이지로 이동

☞  paros 등을 사용하여 분석 시 어렵게 하기 위한 행위로 추정

③   Index_old.php 코드에 의해 navigator.useragent 환경을 체크하여 복호화 수행

④   Index2.php 코드는 러시아 성인사이트로 접속과 동시에 다양한 취약점을 내포하고 있는 main.php (blackhole exploit toolkit) 코드로 이동

⑤   main.php 코드는 Java, PDF 취약점 존재 시 최종 악성파일을 다운받아 실행되도록 구현

⑥   최종 악성파일(info.exe) 감염 시 외부로 SMTP 트래픽을 발생

[그림 5. index2.php 난독화]

## 해당 내용은 2012년 11월 볼라벤소모임 활동을 하면서 분석한 내용입니다.

2.1 zip.html 분석

요약: zip.html 파일도 tiancai.html 과 동일하게 ck vip exploit kit 으로 난독화 되어있으며, 풀이과정은

     동일하다

[그림 1] zip.html 코드 확인

  -  쉘코드 확인을 어렵게 하기 위해 특정 코드를 변수에 대입 (Abqj6 -> %u)

[그림 2] zip.html 디코딩 코드 확인

2.1.1 쉘코드 확인방법

  -  쉘코드를 exe 파일 형태로 변경하여 OllyDbg 에서 확인하는 방법

    →  XOR = 0BD, CX = 3B8(952) 루프가 끝나는 시점에 BP 를 걸어 최종 URL 주소 확인 가능 

[그림 3] 변환된 쉘코드 확인

  -  위 [그림 3] 방법이 복잡하다면 Malzilla 프로그램을 사용하여 String 부분에 http 값이 있다고 가정하여 Key 값을 찾은 다음 변환 시 최종 URL 주소 확인 가능

[그림 4] Malzilla 프로그램으로 최종 URL 확인

2.2  win.html 분석

요약: win.html 파일은 내부에 삽입된 코드에 의해 logo.swf 파일이 실행되어 삽입된 쉘코드가

    동작되는 구조이다

[그림 5] win.html 코드 확인

2.2.1 logo.swf 파일 확인

  -  logo.swf 파일은 압축되어 있으며, 압축 해제 시 파일 용량이 증가한다 [그림 6] 참조

[그림 6] logo.swf 파일 확인

  -  HP 社에서 제공하는 SWFScan 프로그램으로 확인결과, _P17 영역에 삽입된 쉘코드가 확인된다

[그림 7] SWFScan 프로그램 확인

  -  OllyDbg, Malzilla 프로그램에서 확인하는 방법은 위에서 설명한 “2.1.1 쉘코드 확인방법” 참조

[그림 8] 변환된 쉘코드 확인

[그림 9] Malzilla 프로그램으로 최종 URL 확인

q  ck vip exploit kit sample analysis

국내 다수의 사이트에서 ck vip exploit kit 으로 제작된 악성링크 삽입이 빈번하게 확인되고 있다

[그림 1] ck vip exploit kit 흐름도

2.1  위/변조 & 중간 경유지 사이트 분석

  요약: 국내 사이트가 위/변조되어 [그림 7] 처럼 악성 iframe 코드에 의해 두 군데의 중간 경유지로이동된다. 중간 경유지 사이트에도 동일하게 iframe 코드가 삽입되어 최종 악성코드 유포지 및 중국에 위치한 통계 사이트(xx.51yes.com) 로 이동된다. 최종 악성코드 유포지는 일본으로 확인되며, 문서를 작성하는 기간에도 재현되어 일부 모자이크 처리를 하였다

[그림 2] 위/변조 & 중간 경유지 사이트에 삽입된 iframe 코드

[그림 3] 최종 악성코드 유포지 정보

2.2  tiancai.html 분석

요약: tiancai.html 은 크게 Java 취약점과 MSIE 버전에 따른 SWF, IE 취약점으로 나뉘어져 있다

[그림 4] tiancai.html 구조

  - 상단부분의 eval 을 포함하고 있는 변수를 alert 으로 변경하여 1차로 디코딩된 코드 확인가능

  - 1차 디코딩된 코드의 하단부분에 중요한 Key(t) 값이 확인되어, alert(t); 를 삽입하여 코드 확인가능

[그림 5] tiancai.html 난독화 디코딩 과정

  - 디코딩된 코드와 tiancai.html 하단 부분에 삽입된 코드가 결합되어 동작한다.

  - 해당 자바 취약점이 존재하면 ckurl 변수에 난독화 코드로 삽입된 최종 악성파일이 실행된다.

    ckurl 변수에 삽입된 코드 ☞ 디코딩 과정은 [그림 6] 참조 

[그림 6] 최종 악성코드 유포지 확인

  - ckwm.jpg 파일은 압축된(.jar) 자바 파일이며, 압축을 해제하면 3개의 class 파일이 확인

  * 참고사항: 흐름도에서 확인되는 wmck.jpg 파일은 다운되지 않음 

[그림 7] ckwm.jpg 파일 확인

  -  ckwmckwmckwmExp.class 파일에 삽입된 코드에 의해 사용자PC %Temp% 경로에 logo.jpg.vbs

  스크립트 파일을 생성 후 동작되어 최종 악성파일이 실행

[그림 8] ckwmckwmckwmExp.class 파일 확인

q  ck vip exploit kit 소개

1.    History

1)  외신에 의하면 ck vip exploit kit 은 2012년 4월 처음 확인되었으며, New Chinese Exploit Pack 이라고 칭하는 곳도 확인된다

2)  ck vip exploit kit 은 Dadong’s 시리즈처럼 주석을 남기는 특징이 있으며, 주석은 다음과 같다

- 주석확인: /*ck vip*/ , /*vip ck*/ , /*jsck vip*/

3)  ck vip exploit kit 은 dean.edwards packer 와 Yszz 시리즈 코드를 응용하여 사용한다

    [그림 1,2] 참조

4)  Yszz 시리즈는 국내 기준으로 2012년 5월 초 처음 확인되었으며, 0.1 버전부터 1.6 vip 버전까지 짧은 기간(2012년 10월 중순) 동안 지속적으로 등장한 이력이 있다

5)  ck vip exploit kit 은 Net Boom Exploiter kit 을 사용하여 제작된다고 한다 [그림 3] 참조

☞ dean.edwards 정보: http://dean.edwards.name

☞ Yszz 시리즈 정보: http://www.kahusecurity.com/2012/new-chinese-exploit-pack

☞ ck vip exploit kit 정보: http://www.cysecta.com/tag/ck-vip

2.    ck vip exploit kit 패턴

1) dean.edwards packer 패턴 확인

    - ck vip exploit kit 코드 내부에 dean.edwards packer 와 유사한 패턴 확인

[그림 1] dean.edwards packer 와 ck vip exploit kit 패턴

2) Yszz 시리즈 패턴 확인

    - Yszz 코드와 dean.edwards packer 로 디코딩한 코드를 비교해보면 유사한 부분이 확인된다

[그림 2] Yszz 특정 패턴

3) ck vip exploit kit 판매 사이트 정보

[그림 3] ck vip exploit kit 판매 사이트

4. EtQZAs.pdf 분석

요약: PDF 취약점을 이용하여 sR5L76pksF.exe 파일을 다운로드 및 실행하는 역할을 한다

4.1 PDF 파일에 삽입된 악성스크립트 확인

-       PDFStreamDumper 를 이용하여 PDF 파일에 삽입된 악성스크립트를 확인한다

[그림 28] PDF 파일에 포함된 악성스크립트 확인

-       불필요한 값(보기 어렵게 하기 위해 삽입) 제거 및 스크립트 구성 확인

[그림 29] 악성스크립트 구조

  ①    악성 URL 값을 특정 변수에 저장한 부분

  ②    악성스크립트를 난독화하여 특정 부분에 저장한 부분

  ③    난독화된 악성스크립트를 복호화하는 부분

4.2 악성스크립트 복호화 부분 분석

-       복호화 부분은 난독화된 데이터를 복호화 하는 Main 함수 부분과 분석을 어렵게 하기 위해

PDF 환경 변수 등을 사용하는 것이 특징이다.

[그림 30] 복호화 부분 분석

  ①    복호화된 스크립트를 PDF용 자바스크립트 양식인 app.변수에 저장한다

  ②    xfa.host.numpages는 PDF 파일의 총 페이지수를 의미한다 하지만 스크립트 부분만을 분석하면

  해당부분이 정의되지 않아 정상적으로 복호화가 불가능하다

      ð  어도비리더로 문서를 실행하여 총 페이지수를 확인할 수 있다

  ③    eval 함수를 감추기 위해 문자열의 조합으로 특정변수에 eval(or app.eval)을 저장하여 실행한다

      ð  PDF 에서 alert 은 app.alert 으로 사용한다. 이처럼 PDF 스크립트 분석 시 자바스크립트 분석 환경에

               맞추어 변환해 주어야 정상적인 값을 구할 수 있다

▶▶ ① 부분을 alert(aTXAca); 으로 수정하거나, ③ 부분을 수정하면 결과값을 확인할 수 있다

         ----------------------------------------------------------------------------------------------------------------------------

※  PDF 파일분석 시 Tip

  - PDF에 삽입된 자바스크립트를 분석 시 <, >, &, &qout; 들은 아래처럼 변경해 주어야 한다

                 •        &lt;      →   <

                 •        &gt;,     →   >

                 •        &amp;,   →   “ “ (공백, 스페이스)

                 •        &qout;   →   “

        ----------------------------------------------------------------------------------------------------------------------------

4.3 복호화된 스크립트 추가 분석

-       [그림 30] ① 부분을 alert(aTXAca); 변경하여 실행시 아래와 같은 스크립트를 확인할 수 있다

-       Main 함수와 그 안에서 사용되는 값들을 구하는 함수로 이루어져 있으며, [그림 31]에 ① 부분의 변수를 사용한다 (분석 시 ① 부분을 추가해 주어야 한다)

[그림 31] 1차 난독화 해지 시 스크립트 확인

  ①    ①의 JDKPdPCkv 변수는 [그림 31]에 ①에서 정의되어 있는 것으로 악성코드가 존재하는 URL을 저장하고 있다

[그림 32] JDKPdPCkv 변수의 값

  ②    ② 부분은 main함수에 의해 만들어진 값을 hnPgL 의 rawValue 값으로 저장한다

▶▶내용요약: shell 변수에 악성코드를 다운로드 하는 코드를 저장 후 오버플로우를 발생시키는

               코드를 추가하여 hnPgL.rawValue로 저장한다

[참고]  Malzilla 를 이용하면 shell 변수에 저장된 shellcode를 아래처럼 확인 할 수 있다

[그림 33] malzilla 를 이용한 shellcode 확인

-       hnPgL 은 악성스크립트가 삽입되어 있는 Object 부분에 field 값으로 정의되어 있다

[그림 34] hnPgL - field

-       PDF 파일을 실행 시 아래 [그림 35] 부분에 의해 악성스크립트에 의해 만들어진 값이 삽입되고

오버플로우가 발생되어 악성코드를 다운로드 한다

ð  해당 부분은 구글링을 통해 알게 된 정보를 참고하여 작성하였고, 잘못된 부분이 있을 수도 있다는 것을 참고하기 바란다

[그림 35] PDF 파일에서 hnPgL

☞ PDF 취약점 참고자료: http://ahnlabasec.tistory.com/579 (CVE-2010-0188)

※ 블로그의 특성상 Coolkit의 난독화 부분에 대해 다루었습니다. Cool EK의 전체 분석 보고서는 제가 활동하는 볼라벤 소모임의 블로그에서 보실 수 있습니다.

- 바로가기: http://thebolaven.tistory.com/entry/13차-문서-Cool-Exploit-Kit-분석

 → 한글때문에 바로가기가 안될 경우 '분석'까지 복사하여서 주소창에 붙여넣기하시면됩니다.

3.1  Pdfx.html 분석

요약: Pdfx.html 은 fnts.html 로 연결(웹폰트취약점) 및 EtQZAs.pdf 파일(PDF취약점)을 다운로드 하는 역활을 하며, Microsoft help 사이트로 위장하는 부분과 악성스크립트 부분으로 이루어져 있다

[그림 16] Pdfx.html 구조

[그림 17] Pdfx.html 실행 및 링크 클릭 시 보여지는 화면

3.1.1 악성스크립트 부분 분석

-       [그림 18] 의 ① 부분은 현재 페이지에 있는 iframe 내 요소에 접근하기 위해 사용한다

ð  형태: document.getElementById("puykjo").contentWindow.document.getElementById("rhdc");

-       ID가 ‘puykjo’ 인 iframe 에서 ‘rhdc’ 요소의 값을 가져와 ‘bexzpll’ 변수에 저장한다

-       ② 부분에서 ‘bexzpll’ 변수를 parseInt 와 String.fromCharCode 함수를 이용하여 ‘ftgfk’ 변수에

문자열로 저장 후 eval 함수로 실행한다

[그림 18] Pdfx.html 악성스크립트 분석

-       Microsoft help 사이트 코드 영역에서 ID가 ‘puykjo’ 인 iframe 을 확인할 수 있다

[그림 19] iframe 확인

-       xbje.html 의 코드 확인 시 ‘rhdc’ 요소의 value 값을 확인할 수 있다

[그림 20] xbje.html 코드의 id 확인

-       난독화된 데이터 부분과 복호화 스크립트를 정리하면 [그림 21] 과 같다

[그림 21] 간단하게 정리된 악성스크립트

-       Pdfx.html 복호화 결과

ð  Iframe 에 의해 fnts.html 이동 및 사용자의 pdf 버전에 의해 EtQZAs.pdf 실행

[그림 22] Pdfx.html 복호화 결과 화면

3.2  fnts.html 분석

요약: fnts.html 은 IgqaRKnXz.eot 파일을 불러와 div tag 의 :) 값에 폰트를 적용하도록 되어있으며,  CVE-2011-3402 취약점을 이용하여 z297U9DAuM.exe 파일을 실행하는 역할을 한다

[그림 23] fnts.html 코드 화면

 ①    웹 폰트 사용시 불러오는 방법 중 하나로 IgqaRKnXz.eot 파일을 불러온다

   ð  Style tag 에서 #으로 기술하면 id로 지정 시 적용된다 (#MRnAKouG 기술)

 ②    Div Tag 에서 style 을 id=’MRnAKouG’ 로 하여 ①에서 불러온 웹폰트를 사용한다

   ð  이 과정에서 조작된 eot 파일에 의해 취약점이 발생한다

 ③    div Tag 의 값으로 웹 페이지에 나타나는 부분이다

   ð  해당 페이지를 실행시키면 아무것도 보이지 않는데 그 이유는 IgqaRKnXz.eot 글꼴에서는’:’ 와 ’)’

      문자가 공백으로 표시되기 때문이다 (IgqaRKnXz.eot 분석내용 참조)

 v Web Font 적용 실습 및 정상동작 여부확인 (APM setup 이용)

-       fnts.html 의 url 부분을 네이버에서 무료로 제공하는 나눔고딕 eot 파일로 설정

-       동일한 내용으로 웹폰트가 적용되는 부분과 적용되지 않는 부분을 작성하여 실행

[그림 24] 웹폰트 TEST

-       아래의 그림처럼 웹폰트가 정상적으로 적용되는 것을 확인 (위의 글자에 적용된 것이 확인됨)

[그림 25] 웹폰트 TEST 결과 화면

3.3  lgqaRknXz.eot 분석

요약: CVE-2011-3402 취약점이 존재한다면, 웹폰트 취약점에 의해 sRSL76pksF.exe 파일을 다운로드 및 실행된다

하지만 샘플에서는 취약점이 존재하지 않아 이로 인한 악성코드 감염은 없었다

☞ lgqaRknXz.eot 파일분석을 시도하였지만, 관련 정보가 부족하여 분석에 어려움을 겪고 있다.

하지만 파일 분석을 위한 힌트를 얻을 수 있었고 분석은 현재 진행이다

-       eotinfo 를 이용한 기본 정보 확인 (ubuntu tool 사용)

[그림 26] lgqaRknXz.eot 기본 정보

-       lgqaRknXz.eot 웹폰트 적용 시 글꼴 확인

ð  기본 글꼴과 동일하지만 ‘:)’ 이 공백으로 표시되는 것을 확인 할 수 있다. 실제 악성 eot가 적용된

Fnts.html 페이지는 사용자에게 빈 페이지로 보일 것이다 

[그림 27] lgqaRknXz.eot 웹폰트 적용 화면

※     eot 파일 분석에 관하여

eot 파일 분석을 위해서는 먼저 폰트 파일(ttf)로 변환해야 한다고 한다. 하지만 변환하는 방법은 찾을 수 없었고, 폰트파일은 라이센스가 있기 때문에 웹폰트를 무단으로 ttf 형식으로 변환하여 사용하는 것은 불법행위이기 때문에 내용이 공식적으로 언급이 되지 않은 것 같다

(ttf -> eot 변환 툴은 많음)

그 외 에도 실행 시 iexplore 를 ollyDbg 에 Attach 시켜 변환 알고리즘을 알아내는 방법이 있다.

2.1  Main.html 분석

요약: Main.html 은 pdfx.html 페이지로 유도하는 역할을 하며, Yahoo 와 관련된 사이트로 위장하는 부분과 PluginDetect 0.8.0 실행 부분, 그리고 악성스크립트 부분으로 이루어져 있다

[그림 5] main.html 구조

2.2.1 PluginDetect 0.8.0 정보

PluginDetect 부분은 블랙홀 툴킷에서 자주 보았던 부분으로 java, pdf, flash 등 다양한Plugin 정보를 수집해 주는 스크립트다. 이 수집된 정보를 통해 공격코드에서 취약점이 존재하는 부분을 공격하여 악성 행위를 하게 된다

해당 스크립트는 아래의 사이트에서 누구나 쉽게 원하는 부분만 포함하여 제작할 수 있다

- http://www.pinlady.net/PluginDetectArchive/0.8.0/download/

2.2.2 악성스크립트 부분 분석

-       [그림 11] 의 ① 부분은 현재 페이지에 있는 iframe 내 요소에 접근하기 위해 사용한다

ð  형태: document.getElementById("rvvet").contentWindow.document.getElementById("wtgsnrps");

-       ID가 ‘rvvet’ 인 iframe 에서 ‘wtgsnrps’ 요소의 값을 가져와 ‘kbbdtb’ 변수에 저장한다

-       ② 부분에서 ‘kbbdtb’ 변수를 parseInt 와 String.fromCharCode 함수를 이용하여 ‘bsywkm’ 변수에 문자열로 저장 후 eval 함수로 실행한다

[그림 6] main.html 악성스크립트 분석

-       Yahoo 관련 사이트 위장 부분에서 ID가 ‘rvvet’ 인 iframe 을 확인할 수 있다

[그림 7] iframe 확인

-       Ntdfitt.html 의 코드 확인 시 ‘wtgsnrps’ 요소의 value 값을 확인할 수 있다

[그림 8] Ntdfitt.html 코드의 id 확인

※ 분석 시 main.html 과 같은 폴더에 Ntdfitt.htm 파일이 있다면, [그림 11] 에서 eval 을 alert 으로 변경하여도 복호화된 값을 확인 가능

-       난독화된 데이터 부분과 복호화 스크립트를 정리하면 [그림 14] 와 같다

[그림 9] 간단하게 정리된 악성스크립트

-       main.html 복호화 결과

  ð  사용자의 Java 버전에 의해 pdfx.html 으로 이동

[그림 10] main.html 복호화 결과 화면

q  Cool EK sample analysis

1.    Cool EK 흐름도

6월 말 국내에서 탐지된 Cool EK 분석 결과, 위/변조된 사이트 접속 시 난독화된 경유지로 이동 후 PDF 취약점과 EOT(웹폰트) 취약점을 이용하여 악성코드를 유포하였다

[그림 1] Cool EK 흐름도

2.    Cool EK 난독화 분석

2.1  www.kixxx.com (위/변조 사이트) 분석

요약: 정상 사이트가 위/변조되어 HTML Tag 상단 부분에 악성스크립트 삽입된 것으로 확인되며, Main.html 페이지로 이동시키는 역할을 한다

-       [그림 7] 에서 HTML Tag 가 시작 전 비정상적으로 스크립트가 삽입된 것을 확인

[그림 2] 위/변조 사이트에 삽입된 악성스크립트

-       스크립트 부분 정리 후 실행함수 eval 을 alert 으로 수정하여 복호화된 스크립트를 확인

[그림 3] 악성 스크립트 분석

※ 쉽게 복호화된 스크립트를 보기 위해 데이터가 실행되는 부분을 문자열로 나타내어 주었다

※ 스크립트 내용: a를 “,” 기준으로 배열(split 이용)로 만들고, 8진수 값들을 10진수로 변경 후 4를 뺀다. 그리고 String.fromCharCode 를 이용하여 문자열로 변환 후 eval 함수로 실행한다

-       Alert 결과 창에서 악성코드 유포 중간 경유지를 확인 할 수 있다

[그림 4] alert 결과 화면