검색결과 리스트
Web Exploit Kit/ck vip EK (jsck vip)에 해당되는 글 3건
- 2013.11.10 ck vip EK sample analysis 2 3
- 2013.11.10 ck vip EK sample analysis 1
- 2013.11.10 ck vip EK 소개
글
ck vip EK sample analysis 2
2.1 zip.html 분석
요약: zip.html 파일도 tiancai.html 과 동일하게 ck vip exploit kit 으로 난독화 되어있으며, 풀이과정은
동일하다
[그림 1] zip.html 코드 확인
- 쉘코드 확인을 어렵게 하기 위해 특정 코드를 변수에 대입 (Abqj6 -> %u)
[그림 2] zip.html 디코딩 코드 확인
2.1.1 쉘코드 확인방법
- 쉘코드를 exe 파일 형태로 변경하여 OllyDbg 에서 확인하는 방법
→ XOR = 0BD, CX = 3B8(952) 루프가 끝나는 시점에 BP 를 걸어 최종 URL 주소 확인 가능
[그림 3] 변환된 쉘코드 확인
- 위 [그림 3] 방법이 복잡하다면 Malzilla 프로그램을 사용하여 String 부분에 http 값이 있다고 가정하여 Key 값을 찾은 다음 변환 시 최종 URL 주소 확인 가능
[그림 4] Malzilla 프로그램으로 최종 URL 확인
2.2 win.html 분석
요약: win.html 파일은 내부에 삽입된 코드에 의해 logo.swf 파일이 실행되어 삽입된 쉘코드가
동작되는 구조이다
[그림 5] win.html 코드 확인
2.2.1 logo.swf 파일 확인
- logo.swf 파일은 압축되어 있으며, 압축 해제 시 파일 용량이 증가한다 [그림 6] 참조
[그림 6] logo.swf 파일 확인
- HP 社에서 제공하는 SWFScan 프로그램으로 확인결과, _P17 영역에 삽입된 쉘코드가 확인된다
[그림 7] SWFScan 프로그램 확인
- OllyDbg, Malzilla 프로그램에서 확인하는 방법은 위에서 설명한 “2.1.1 쉘코드 확인방법” 참조
[그림 8] 변환된 쉘코드 확인
[그림 9] Malzilla 프로그램으로 최종 URL 확인
'Web Exploit Kit > ck vip EK (jsck vip)' 카테고리의 다른 글
| ck vip EK sample analysis 1 (0) | 2013.11.10 |
|---|---|
| ck vip EK 소개 (0) | 2013.11.10 |
글
ck vip EK sample analysis 1
q ck vip exploit kit sample analysis
1. ck vip exploit kit 흐름도
국내 다수의 사이트에서 ck vip exploit kit 으로 제작된 악성링크 삽입이 빈번하게 확인되고 있다
[그림 1] ck vip exploit kit 흐름도
2. ck vip exploit kit 난독화 분석
2.1 위/변조 & 중간 경유지 사이트 분석
요약: 국내 사이트가 위/변조되어 [그림 7] 처럼 악성 iframe 코드에 의해 두 군데의 중간 경유지로이동된다. 중간 경유지 사이트에도 동일하게 iframe 코드가 삽입되어 최종 악성코드 유포지 및 중국에 위치한 통계 사이트(xx.51yes.com) 로 이동된다. 최종 악성코드 유포지는 일본으로 확인되며, 문서를 작성하는 기간에도 재현되어 일부 모자이크 처리를 하였다
[그림 2] 위/변조 & 중간 경유지 사이트에 삽입된 iframe 코드
[그림 3] 최종 악성코드 유포지 정보
2.2 tiancai.html 분석
요약: tiancai.html 은 크게 Java 취약점과 MSIE 버전에 따른 SWF, IE 취약점으로 나뉘어져 있다
[그림 4] tiancai.html 구조
- 상단부분의 eval 을 포함하고 있는 변수를 alert 으로 변경하여 1차로 디코딩된 코드 확인가능
- 1차 디코딩된 코드의 하단부분에 중요한 Key(t) 값이 확인되어, alert(t); 를 삽입하여 코드 확인가능
[그림 5] tiancai.html 난독화 디코딩 과정
- 디코딩된 코드와 tiancai.html 하단 부분에 삽입된 코드가 결합되어 동작한다.
- 해당 자바 취약점이 존재하면 ckurl 변수에 난독화 코드로 삽입된 최종 악성파일이 실행된다.
ckurl 변수에 삽입된 코드 ☞ 디코딩 과정은 [그림 6] 참조
[그림 6] 최종 악성코드 유포지 확인
- ckwm.jpg 파일은 압축된(.jar) 자바 파일이며, 압축을 해제하면 3개의 class 파일이 확인
* 참고사항: 흐름도에서 확인되는 wmck.jpg 파일은 다운되지 않음
[그림 7] ckwm.jpg 파일 확인
- ckwmckwmckwmExp.class 파일에 삽입된 코드에 의해 사용자PC %Temp% 경로에 logo.jpg.vbs
스크립트 파일을 생성 후 동작되어 최종 악성파일이 실행
[그림 8] ckwmckwmckwmExp.class 파일 확인
'Web Exploit Kit > ck vip EK (jsck vip)' 카테고리의 다른 글
| ck vip EK sample analysis 2 (3) | 2013.11.10 |
|---|---|
| ck vip EK 소개 (0) | 2013.11.10 |
글
ck vip EK 소개
q ck vip exploit kit 소개
1. History
1) 외신에 의하면 ck vip exploit kit 은 2012년 4월 처음 확인되었으며, New Chinese Exploit Pack 이라고 칭하는 곳도 확인된다
2) ck vip exploit kit 은 Dadong’s 시리즈처럼 주석을 남기는 특징이 있으며, 주석은 다음과 같다
- 주석확인: /*ck vip*/ , /*vip ck*/ , /*jsck vip*/
3) ck vip exploit kit 은 dean.edwards packer 와 Yszz 시리즈 코드를 응용하여 사용한다
[그림 1,2] 참조
4) Yszz 시리즈는 국내 기준으로 2012년 5월 초 처음 확인되었으며, 0.1 버전부터 1.6 vip 버전까지 짧은 기간(2012년 10월 중순) 동안 지속적으로 등장한 이력이 있다
5) ck vip exploit kit 은 Net Boom Exploiter kit 을 사용하여 제작된다고 한다 [그림 3] 참조
☞ dean.edwards 정보: http://dean.edwards.name
☞ Yszz 시리즈 정보: http://www.kahusecurity.com/2012/new-chinese-exploit-pack
☞ ck vip exploit kit 정보: http://www.cysecta.com/tag/ck-vip
2. ck vip exploit kit 패턴
1) dean.edwards packer 패턴 확인
- ck vip exploit kit 코드 내부에 dean.edwards packer 와 유사한 패턴 확인
[그림 1] dean.edwards packer 와 ck vip exploit kit 패턴
2) Yszz 시리즈 패턴 확인
- Yszz 코드와 dean.edwards packer 로 디코딩한 코드를 비교해보면 유사한 부분이 확인된다
[그림 2] Yszz 특정 패턴
3) ck vip exploit kit 판매 사이트 정보
[그림 3] ck vip exploit kit 판매 사이트
'Web Exploit Kit > ck vip EK (jsck vip)' 카테고리의 다른 글
| ck vip EK sample analysis 2 (3) | 2013.11.10 |
|---|---|
| ck vip EK sample analysis 1 (0) | 2013.11.10 |