CK VIP Exploit 금융 파밍 분석1

디씨인사이드(dcinside)에서 악성코드가 처음으로 배포 되었고, 현재까지도 악성코드가 유포되고 있습니다. (관련 기사 : http://dailysecu.com/news_view.php?article_id=6536)

현재, Google malware database에도 등록되지 않아서 Malware에 대한 경고 또한 주지 않아 문제점이 있습니다.

디씨인사이드 접속시 referer를 체크하여 특정 조건에 부합하면 랜덤하게 302(Redirection)을 합니다.

shiftu.html(4b347f49d58b830b9f7b5fa6d206e7d6)

CK VIP Exploit이라고 알 수 있는 방법은 스크립트에 js nb vip와 ck라는 단어가 들어간다는 점입니다.

난독화를 풀기 위해서는 위 사진처럼 xmP76x부분(복호화 부분)에 eval이 있는데 eval을 alert이나 document.write 바꾸시면 됩니다.

(단, alert의 경우 스크립트 길이가 길어지면 전체 소스가 나오지 않으며 복사가 되지않으므로.. 분석이 힘듭니다.)

document.write를 쓰는 경우 html이나 javascript일 경우 브라우저가 해석하기때문에 악성코드 감염의 위험이 있습니다.

첫번째 난독화가 풀어진모습

t가 Key값 인것 같으므로 난독화가 풀어지지 않은 스크립트에서 document.write을 이용하여 난독화를 최종적으로 복호화합니다.

스크립트가 끝나는 지점에 document.write("<xmp>" + t + "</xmp>");를 사용하여 실행시키지 않고 소스를 해석하게 합니다.

난독화를 해제하기전에 shiftu.html를 보면 ckl()이라는 fuction이 정의되어 있는데, 악성코드 URL을 decode하기 위한 것입니다.

(추가로.. 스크립트를 잘보면 gondad라고 써있는데 공다팩도 추가되어 있네요.)

Colored By Color Scripter™

1 2 3 4 5

bmw = [263,275,275,271,217,206,206,208,211,209,205,207,205,208,210,208,205,211,209,206,266,257,274,205,260,279,260]   for i in range(0, len(bmw)):     bmw[i] -= 159     print chr(bmw[i]),

저 같은 경우엔 html을 사용하지않고 파이썬을 사용하여 디코드를 하였습니다.

알고리즘은 배열에서 159만큼 빼서 character형으로 변환시키는 소스입니다.

악성코드 주소는 hxxp://142.0.???.???/kbs.exe 입니다.

다시 난독화가 최종적으로 풀어진 스크립트로 가서 분석을 하겠습니다.

audi변수 안에는 난독화 해제하기전 shiftu.html에 변수가 있습니다. 해당 변수안에는 one.avi이 들어있습니다. CVE : CVE-2012-4681 종류 : JAVA EXPLOIT

jaguar 변수안에는 two.avi가 들어있습니다. CVE : CVE-2013-0422 종류 : JAVA EXPLOIT

benz 변수안에는 KsDnGpGkEs.avi이 들어있습니다. (바이러스토탈 3/51. V3탐지 X) CVE : CVE-2011-3544 종류 : JAVA EXPLOIT

악성코드 웹부터 접근해서 분석하는건 처음이네요..

분량이 되게 많을듯 싶습니다.. -_-;;

해당 분석 자료는 블로그 게시글이 아닌 pdf로 수정되어 배포중입니다.

http://nopsled.tistory.com/33

위 링크로 가셔서 pdf파일을 받으실 수 있습니다.

감사합니다.