보안초보 광게바라

5) main.php (wkxxxk.in/main.php)

- Blackhole Exploit Toolkit 2.0의 Main으로 세 부분의 코드로 구분하여 확인

• 첫 번째 부분: “frame1.php” 페이지로 이동시키는 부분

• 두 번째 부분: PDF 취약점을 이용한 악성파일 다운로드 시도     

• 세 번째 부분: java 취약점을 이용한 악성파일 다운로드 시도

▶ 첫 번째 부분 분석

 ≫ “blank.php” 와 동일한 패턴으로 난독화되어 있으며, “frame1.php” 페이지로 유도

A. 난독화 코드의 key 값을 찾은 후 “docment.write”를 이용하여 난독화 해제

    - “%(HEX값) %(HEX값)… “ 형태의 쉘코드 값을 확인

[그림 9-1. main.php 첫 번째 부분 난독화]

B. A에서 얻은 결과값에서 “%”를 모두 제거 후 malzilla Tool을 이용하여 XOR 연산

 - malzilla Tool을 사용하여 “http” 문자열의 Key 값을 찾아 XOR 연산

   - iframe 태그로 “wkmyk.in/frame1.php?src=14…” 연결 확인

[그림 9-2. main.php 첫 번째 부분 난독화]

≫ frame1.php 분석: “frame1.php”는 “특정페이지로 접속을 시도하는 부분과 취약점을 이용하여  쉘코드를 실행하는 두 부분으로 이루어져 있다

A. iframe 태그를 이용하여 “frame2.php”으로 연결을 시도

  ⇒ “frame2.php “ 접속 시 해당페이지는 존재하지 않음 (404 Not Found)

[그림 10-1. frame1.php 소스]

B. 취약점을 이용하여 쉘코드를 실행시키는 것으로 추정되지만, 코드가 손상되어 재현되지 않음

[그림 10-2. frame1.php 소스]

▶ 두 번째 부분 분석 (PDF 취약점)

 ≫ PDF 취약점을 이용한 ~/content/ap2.php (e8a11.pdf) 파일이 실행되어 악성코드에 감염

 A. PDF 파일에 삽입된 난독화 코드 복호화

[그림 11. ap2.php 복호화 과정]

▶ 세 번째 부분 분석 (Java 취약점)

- Java 취약점이 존재할 경우 Gam.jar 파일과 value 값을 이용하여 악성코드 유포지로 이동

- 제작자가 자신만의 키 값을 이용하여 value 값을 난독화

- “Secret Decoder Ring” Tool을 사용하여 악성코드 유포지 확인

[그림 12. main.php 세 번째 부분 난독화]

☞ Key값은 해당 툴을 이용하여 이미 알려진 정보(value값과 악성코드 유포지)를 역 분석하여 찾을 수 있음

※ 블로그의 특성상 난독화 부분만 다루었다. 전체 분석보고서는 아래의 볼라벤소모임 블로그에서 다운로드

   가능합니다

   - http://thebolaven.tistory.com/entry/4차-문서-blackhole-exploit-toolkit-20-분석

1.    요약

[그림 1. 악성코드 흐름도]

 ①   사용자가 위/변조된 사이트(gxxxxx.co.kr/index.html) 접속 후 Blank.php 페이지 접속

②   blank.php 코드의 특정조건(port:80 등)에 맞으면 악성코드 유포지(Index_old.php)로 302 redirect 

    시키고, 다르면 정상페이지로 이동

☞  paros 등을 사용하여 분석 시 어렵게 하기 위한 행위로 추정

③   Index_old.php 코드에 의해 navigator.useragent 환경을 체크하여 복호화 수행

④   Index2.php 코드는 러시아 성인사이트로 접속과 동시에 다양한 취약점을 내포하고 있는 main.php (blackhole exploit toolkit) 코드로 이동

⑤   main.php 코드는 Java, PDF 취약점 존재 시 최종 악성파일을 다운받아 실행되도록 구현

⑥   최종 악성파일(info.exe) 감염 시 외부로 SMTP 트래픽을 발생

[그림 5. index2.php 난독화]

## 해당 내용은 2012년 11월 볼라벤소모임 활동을 하면서 분석한 내용입니다.