보안초보 광게바라

     1.    카후시큐리티(kahusecurity.com)의 복호화 방법 재현

1)     카후시큐리티 소개

 - 난독화 등 Malicious 컨텐츠를 분석하여 공유하는 보안프로젝트 그룹으로,

   다른 분석가들보다 빠르고 창의적인 방법으로 분석하는 것으로 유명하다

 [참고] Java 0-Day Using Latest Dadong’s JS Obfuscator

http://www.kahusecurity.com/2012/java-0-day-using-latest-dadongs-js-obfuscator

2)     카후시큐리티의 Dadong’s JS Obfuscator 복호화 방법 소개

①     Dadong’s 0.44 실행 시 스크립트의 복호화 기능이 특정 변수에 저장되는 것을 이용

②     변수에 ‘alert’ 등의 자신의 코드를 삽입하여 복호화 시도

③     Dadong’s 0.44의 변조방지기능 때문에 복호화 부분은 수정하지 않고, 데이터

    부분에서 실행 함수가 저장되는 변수 부분을 변조하여 난독화 해지

  ☞ 상세내용은 [참고 2]에서 확인 할 수 있습니다

3)     카후시큐리티 복호화 방법 따라하기

①     스크립트를 실행하는 함수가 저장되는 변수 확인

[그림 1] 스크립트를 실행하는 함수가 저장된 변수 확인

 [그림 2] 난독화된 코드의 일부 복호화

③     ‘PDIK6’ 변수에 실행함수가 저장되므로 ‘PDIK6=alert’으로 임의로 수정하여 복호화된 데이터를 경고창으로 확인 한다

    (변조방지기능 때문에 난독화된 데이터 부분 수정 시도)

≫ 데이터의 길이를 유지하기 위해 공백을 이용하여 글자수를 맞춘다

   PDIK6=pVYAmQ8;

   PDIK6=alert     ;

≫ 난독화된 데이터 패턴을 계산하여 ‘PDIK6=alert     ;’의 값을 구한다

PDIK6=pVYAmQ8;   ⇒   25491BC74F2C0BE6245412E5B922

PDIK6=alert     ;      ⇒   25491BC74F2C1ADC18670B94A122

④     Dadong’s 0.44 패턴으로 변환해주는 간단한 툴을 이용하여 코드 변경

[그림 3] 실제 코드 정상 변환여부 확인

[그림 4] 코드 변경 후 변환

⑤     ‘PDIK6=alert’을 난독화한 데이터를 원래 데이터 부분에 삽입한다

[그림 5] 수정된 난독화 코드 삽입

⑥     스크립트를 실행하면 첫 부분이 변경된 복호화된 스크립트를 확인 할 수 있다

[그림 6] 코드 변조를 통한 복호화 결과

q  Gongda Pack ?

1.    History

1)  Dadong’s JSXX 0.XX VIP 내부 공격 코드 중 중국어로 ‘공격’ 을 의미하는 ‘공다(gongda)’ 라는 변수명(gondad) 이 상당 부분 사용되는 점을 특징으로 이름이 지어졌으며, Gongda Pack 또는Gongda Exploit Kit 으로 알려져 있다

2)  2010년 Dadong’s JSXX 0.39 VIP 를 시작으로 잠시 등장했던 Dadong’s JSXX 0.41 VIP 버전을 지나 Dadong’s JSXX 0.44 VIP 버전이 2012년 4월부터 현재까지 등장하고 있다

2.    Gongda Pack 0.44

1) 주석 스크립트 변화 과정

    - Gongda Pack 0.44 주석 스크립트 부분이 변화되는 원인은 고정적인 문자열을 이용한

      패턴 탐지를 우회하기 위해 변화되는 것으로 판단된다

[그림 1] Gongda pack 0.44 주석 스크립트 변화 과정

q  Dadong’s 0.44 구조

※ 이 문서에서는 Dadong’s 0.44의 난독화를 해제하는데 중점을 두겠다 취약점을 이용하는 부분과문서에서 다루지 않는 부분은 아래의 사이트를 참조하기 바란다

[참고 1] 'GongDa'의 무차별 웹 공격이 시작됐다

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=19418

1.    전체 구조

1)     난독화된 Dadong’s 0.44은 아래 그림처럼 크게 3부분으로 나누어 진다

 [그림 3] 복호화 부분 스크립트 정리

2)     정리 후 복호화 함수의 구조

   - 보기 어렵게 작성된 부분 및 제거되는 코드를 정리하면 아래 그림처럼 된다

[그림 4] 복호화 스크립트 정리 결과

3)     이 복호화 부분은 함수변조방지 기술로 묶여져 있기 때문에 위와 같이 정리 후 Key값을 찾아도 복호화가 정상적으로 이루어 지지 않는다

q  난독화 풀이

1.    ‘alert’을 이용한 데이터 부분 복호화  

1)     복호화 시 일반적으로 ‘alert’이나 ‘document.write’ 등을 사용하여 실행되는 스크립트를 문자로 확인한다 여기서는 ‘alert’을 이용하여 데이터를 복호화 시도하였다

3)     복호화 실패 원인

- 제작자는 복호화를 어렵게 하기 위해 함수를 문자열로 묶어놓았고, 문자열을 변경할 경우 함수의  변수 값이 변하여 원래 데이터를 얻을 수 없도록 만들었다 (변조방지기능)

[그림 7] 변조방지기능의 역할을 하는 부분

4)     해결 방법

- 값의 길이와 문자를 이용하여 변수를 구하는 부분이 변경되지 않게 하기 위해

[그림 5]의 정리된 복호화 부분 위에 원래 복호화 부분을 추가하여 함수들이 참조할 수

있도록 한다  

[그림 8] 변조방지를 우회하기 위해 복호화 부분을 추가 삽입

 5)     데이터 복호화

    - 수정된 복호화 부분을 이용하여 데이터를 복호화 시 공격 스크립트를 확인 할 수 있다

[그림 9] 복호화에 성공한 화면