Information Security/Malware

Redkit Exploit Tool : Redkit Landing Page에 관한 정보

2013. 2. 3. 16:30

악성코드 유포지로 등록된 URL의 코드를 분석 중 위와 같은 코드를 발견하였다.

처음에는 단순히 웹 개발자가 들여쓰기를 하지 않은 코드로 생각을 하였지만, 맨 위의 Parameter, Jar file, class의 쓰이는 모습을 보니 악성코드 냄새가 풀풀 풍기기 시작했다.

비슷한 코드들을 사용하는 다른 URL을 보게되고 악성코드로 분류하였지만, 공격자는 어떻게 이러한 코드를 작성 할 수 있었는가에 대한 궁금증을 가지고 있었다.

취약점 관련 rss피드를 보다가 Xenda's Blog에서 "Xenda's Blog : RedKit Patterns – Additional Info to @fknsec Writeup"

의 제목의 글을 보았다. 1~5가지 Redkit 패턴들을 정리하였지만, 위의 코드에서 확인 할 수 있었던 패턴은 2번과 4번 뿐이었다.

좀더 검색을 해보니 McAfee Blog에서 "McAfee Blog : Red Kit an Emerging Exploit Pack"의 제목으로 최근 Red Kit 코드에 대한 정리된 내용을 볼 수 있었다.

이 페이지의 시나리오는 다음과 같다.

  1. 유저의 브라우저는 Redkit Landing Page로 리다이렉션 하는 코드를 통해 공격자가 만들어 놓은 웹페이지에 접근한다.
  2. 유저는 정상적으로 웹페이지를 이용하지만 브라우저는 내부적으로 Redkit Landing Page의 정보를 읽는다.
  3. Redkit Landing Page에는 취약점을 이용한 공격 코드가 포함되어 있다.
  4. 해당 취약점에 대한 보안업데이트를 하지 않은 유저인 경우 악성코드에 감염에 노출 된다.

MacAfee에서는 jar파일(Java 취약점 CVE-2012-1723)과 pdf파일(CVE-2010-0188)을 사용한다고 되어있다. 즉, 332.jar, 887.jar와 987.pdf는 Payload가 되는 것이다.

RedKit에 관련된 서로 다른 악성코드 유포지의 URL을 비교해 보았을 때 다음과 같은 공통점들을 찾을 수 있었다.

  1. http://[유포지 URL]/332.jar
  2. http://[유포지 URL]/887.jar
  3. http://[유포지 URL]/987.pdf
  4. var Ganni = version:"0.7.7",rDate:"04/11/2012",name:"Ganni"

RedKit의 내부적인 모습을 보고싶으면, 다음 페이지를 방문해 보고

Malware don't need Coffee : Inside RedKit Exploit Kit - Exploit Kit Customer Control Panel

상세한 공격코드를 보고 싶으면, MalwareMustDie가 2013년 1월 11일에 등록한 다음페이지를 방문해 보길 바란다.

PASTEBIN : RedKit - Landing page script 20120112

Reference

[1] : RedKit Patterns – Additional Info to @fknsec Writeup

[2] : Red Kit an Emerging Exploit Pack

[3] : RedKit - Landing page script 20120112

[4] : Inside RedKit Exploit Kit - Exploit Kit Customer Control Panel

[5] : What happened if Red Kit Exploit Kit team up with BlackHole EK? = Tripple payload + infection of Khelios!

반응형
저작자표시 비영리 동일조건 (새창열림)

'Information Security > Malware' 카테고리의 다른 글

urlQuery.net 기능분석  (0) 2013.03.02
Javascript Compressor  (0) 2013.02.07
Deformed of Gondad Exploit Obfuscation  (2) 2013.01.18
Making Generate Yara rules  (1) 2013.01.18
Exploit ToolKit  (0) 2012.08.27
'Information Security/Malware' 카테고리의 다른 글
  • urlQuery.net 기능분석
  • Javascript Compressor
  • Deformed of Gondad Exploit Obfuscation
  • Making Generate Yara rules
hakawati
hakawati
Research Engineer

블로그 메뉴

  • 홈
  • 방명록
  • 블로그 관리
hakawati
Hakawati Security Lab
hakawati
전체
오늘
어제

공지사항

  • About Me
  • Hakawati Lab (252)
    • Notice (7)
      • Main (4)
      • Sub Notice (1)
      • Tips (2)
    • Information Technology (58)
      • System Architecture (2)
      • Programming (20)
      • Operation System (16)
      • Machine Learning (5)
      • Bigdata (2)
      • File Format (7)
      • Network (2)
      • Cloud (3)
      • Domain (1)
    • Information Security (183)
      • Security Information (36)
      • CTI & Threat Hunting (1)
      • Digital Forensics (1)
      • Licenses (2)
      • Malware (40)
      • OpenSource (53)
      • Incident Response (1)
      • Seminar (8)
      • Cryptography (2)
      • Books (11)
      • Vulnerability (4)
      • Web Hacking (8)
      • Wargame (10)
      • Abuse & Fraud (6)
    • Life Hacking (3)
      • Term Idea (0)
      • Books (3)
      • Travels (0)
      • Activities (0)
      • Workout (0)

인기 글

태그

  • NIST
  • Amazon
  • cloud
  • EC2
  • domain
  • 줄리엣
  • WWW
  • instance
  • CWE
  • 도메인
  • cloudflare
  • Macie
  • AWS
  • sub-domain
  • 서브도메인
  • juliet
  • security

최근 댓글

최근 글

hELLO · Designed By 정상우.
hakawati
Redkit Exploit Tool : Redkit Landing Page에 관한 정보
상단으로

티스토리툴바

개인정보

  • 티스토리 홈
  • 포럼
  • 로그인

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.