Information Security/Malware

Information Security/Malware

공다팩(Gondad EK) 분석 #01

01. Introduction 국내 공격을 많이 진행하고 있는 공다팩에 대해 연재하려고 한다. 공다팩은 자바스크립트 언어로 난독화된 특정 소스코드를 지칭하며, 해당 난독화를 해제하면 취약성을 가지는 코드를 이용하여 악성코드를 유포하는 자바스크립트 소스코드를 볼 수 있다. 국내 사용자들이 방문하는 웹 서버를 공격하여 웹 페이지를 변조하고, 공다팩 페이지로 방문하도록 유도하여 악성코드 감염을 노린다. 물론 여기서 방문은 사용자의 이벤트에 의한 브라우저의 방문이 아닌 소스코드에 의한 강제적인 브라우저의 방문에 해당한다. 즉, 드라이브 바이 다운로드 공격에서 공격 페이지(Exploit Page)에 사용되는 난독화 코드이다. 02. Pack? Kit? 기본적으로 다양한 웹킷들을 보고있자면, 팩이라는 단어와 킷이라..

Information Security/Malware

jjencode 분석

1. 개요 자바스크립트 난독화 중 jjencode라는 생소한 형태의 난독화가 있다. 이 난독화는 일본 연구가 하세가와 요스케(Yosuke HASEGAWA - 블로그)에 의해 만들어 졌고, 처음 공개된 것은 일본에서 열린 2009 JUI(JavaScript User Interface) 세미나이다. 자세한 공개 내용은 블로그에 공개된 발표자료를 통해 볼 수 있으며(다운로드) 생성 도구는 이곳에서 사용할 수 있다. 2. 목적 jjencode의 목적은 자바스크립트 기호로만 사용하여 자바스크립트와 (거의) 동등하게 동작하는 난독화 코드를 만드는 것이다. 3. 난독화 규칙 jjencode의 기본 규칙은 다음과 같다. 기호만 사용알파벳 금지숫자 금지US-ASCII 이외의 문자 금지사용 가능한 문자 !"#$%&'()*..

Information Security/Malware

Sothink SWF Decompiler 3.7

Shockwave Flash Player 파일의 Magic Signature은 SWFFWS이다. 하지만 이는 SWF 파일은 코드를 쉽게 볼 수 있기 때문에 SWF 파일의 컨텐츠 보호가 필요하게 되었다. 그래서 압축기술, 난독화 기술, 암호기술 등 생겼고, CWS라는 Magic Signature는 SWF 파일의 압축에 의해 생겨난 Signature이다. SWF의 Action Script 기능을 이용하여 악성코드 유포지로 활용하기도 하며, 때로는 악성 소프트웨어 위치를 SWF에 저장하기도 한다. 또한 Adobe Flash Player의 취약성을 SWF 파일에 담아 악성 소프트웨어 유포를 위한 취약점을 유발시키는 코드가 포함되기도 한다. 다음 도구는 CWS Magic Signature를 decompressor..

Information Security/Malware

알고리즘을 이용한 16진수 변형 + 메소드 치환 난독화 / DOM을 이용한 Script 실행

1. 개요 이 난독화는 몇몇 난독화들이 중복적으로 사용되어 있다. 1.1. 원본 소스코드 asq=function(){return n[i];};ww=window;ss=String.fromCharCode;try{document.body=~1}catch(dgsgsdg){zz=12*2+1+1;whwej=12;}{try{whwej=~2;}catch(agdsg){whwej=0;}if(whwej){try{document.body++;}catch(bawetawe){if(ww.document){n="0xa,0xa,0x6a,0x67,0x21,0x29,0x65,0x70,0x64,0x76,0x6e,0x66,0x6f,0x75,0x2f,0x68,0x66,0x75,0x46,0x6d,0x66,0x6e,0x66,0x6f,0x75,0x..

Information Security/Malware

Base64를 이용한 JavaScript 난독화

1. 개요 Base64 인코딩 알고리즘을 이용하여 JavaScript로 구현, 이를 난독화 형태로 사용 되는 것을 발견하였다. 발견된 소스코드에서 악성 소프트웨어 유포지로 XSS를 발생시키는 코드를 수정한 소스코드이다. (* 여기서 XSS는 피해자를 공격자가 설정한 사이트로 유도하는 스크립트를 사용한 것을 말한다.) var k0e0y0S="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";var EmbR="PGlmcmFtZSBzcmM9Imh0dHA6Ly93d3cuZXhhbXBsZS5jby5rciIgd2lkdGg9IjAiIGhlaWdodD0iMCIgZnJhbWVib3JkZXI9IjAiPjwvaWZyYW1lPg==";var AcR5="";..

Information Security/Malware

Network Tool - Fiddler Web Debugger

1. Intro 트래픽 분석에 사용하는 도구들은 많지만, 조금 더 가시적이고 눈에 잘 보이는 도구 혹은 간단한(Simple) 도구가 필요하다. Wireshark와 같이 Raw에 가까운 트래픽과 강력한 기능들을 사용하기도하고, NirSoft의 SmartSniff와 같이 아주 간단하게 사용 할 수도 있다. 하지만 이 둘을 섞어 놓은 도구가 있다면 그 또한 매력적으로 다가올 것이다. 그 도구가 Fiddler라고 생각한다. 해외 블로거 중 취약점 및 Exploit Toolkit 분석에 유명한 "Malware don't need Coffee"에서 분석에 대한 많은 부분을 Fiddler가 차지하고 있다. 2. Platform All of them. 3. Create Company Telerik 4. Screensh..

Information Security/Malware

Analysis Tool - Structured Storage Viewer(SSView)

1. 소개 이 툴은 MS OLE(Microsoft Object Linking and Embedding) Structured Storage 기반의 파일들을 분석하는데 사용한다. hwp, doc, ppt, xls와 같은 문서형태의 파일을 정적분석에 사용하는 도구이다. 아쉽게도 docx, pptx, xlsx 등 파일 형식이 달라진 형태들은 분석이 되지 않는다. 2. Platform Windows OS - GUI 3. 제작사 MiTeC 4. Screenshot 5. Reference [1] SSView : http://www.mitec.cz/ssv.html[2] MS OLE : http://msdn.microsoft.com/en-us/library/dd942265.aspx

Information Security/Malware

VBscript를 이용하여 역순코드로 만든 난독화 알고리즘

vbscript wei = ""function UnEncode(cc)for i = 1 to len(cc)if mid(cc,i,1)"มี" thentemp = Mid(cc, i, 1) + tempelsetemp=vbcrlf&tempend ifnextUnEncode=tempend functiondocument.write(UnEncode(wei))

hakawati
'Information Security/Malware' 카테고리의 글 목록 (2 Page)