posted by Kwan's 2017.04.24 15:31


회사를 퇴사하고 나서 가끔씩 글을 쓸 예정 입니다.

정보가 많이 부족하긴 하지만 악성 스크립트 (국내 + 해외) / 파일분석 등을 적을 예정 입니다.

포스팅을 하는 이유는 그냥 심심해서 입니다.


1. 발견 사이트 (유포지)

cocoalba.kr/autojump/ad_xxxx/index.html


2. 최종 파일

leeve.co.kr/apps/up.exe (현재 404)

MD5 : 0952d38bf8b3f026cb3c41c87db338a7

C&C : r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=2889622357

[VT 결과]

virustotal.com/ko/file/1dd1dbd6631b8b0b87d7bbab7aff004c983dbe87ba6c9e7fed851de4786e6ae1/analysis/


3. 스크립트


초기 스크립트를 확인해보면 제가 마지막으로 본 이전 버전과는 다를게 많이 없습니다.

하지만, 해당 코드를 1차적으로 디코딩을 하면 새로운 값과 기존과 다른 스크립트가 있는 것을 확인할 수 있습니다.



- 1차 디코딩 스크립트


1차적으로 디코딩된 스크립트 같은 경우에는 난독화 부분과 디코딩을 위한 연산 부분을 나눌 수가 있으며, 최종 적으로는 t=utf8to16(nbencode(nbcode(t),JbWRn$q7)) 이부분을 통해 난독화가 해제 됩니다.



- 최종 스크립트


해제된 난독화를 살펴보면, _0x4b88로 정의되어 있는 것부터 시작을 한다.

_0x4b88 같은 경우에는 취약점으로 분기될 수 있도록 배열 형식에 맞춰 사용되도록 스크립트 구문을 공격자가 생성해놓았습니다.


[스크립트]


더보기


더보기


var _0x4b88 에정의된 내용


더보기


마지막으로 취약점으로 연결할 때에는 "var jaguarx=jaguar+" 이와 같이 정의가 되어 있는 것을 볼 수 있는데, 이것은 초기 스크립트내에서 정의 되어 있는 것을 확인하시면 됩니다.

참고로, jaguar = RhRdQk 입니다.

또한, exe 파일 같은 경우에도 초기에 복잡하게 되어 있는 것처럼 보이지만 기존과 별로 차이가 없습니다.


---------------------------

웹 페이지 메시지

---------------------------

http://leeve.co.kr/apps/up.exe

---------------------------

확인   

---------------------------


취약점같은 경우에는 세부적으로 보지는 않았지만, 거의 비슷한거 같아서 추후 포스팅을 하겠습니다.


몇년만에 쓰니까 잘 안써지지만, 꾸준히 포스팅을 하겠습니다.


마지막으로 심심할때마다 뭔가를 던져주는 창훈이에게 고맙다는 말을 전합니다!


감사합니다~