침해사고 분석 패킷 - 악성코드 분석 - 6-2, javascript 난독화 해제

 

스크립트를 삽입해 알람창을띄워서 진행한다.

 

 

 

=================================

 

 

 

첫번째 난독화

 

 

 

 

 

이것을이제 난독화를 헤제해봅니다

 

 

 

 

 

난독화된 자바스크립트 해제

<html>

<script>

</script>

</html>를추가하고

 

var uuu~~

var ijdl~~

지울것을 지우고

 

gyt++ 뒤에

 

alert(zmei + ":" + lub + '' + lub + tjkh + '/'+nami+'?'+feni);

이것을 추가한뒤에

 

google chrome 에서 열어보면

 

 

 

 

 

 

 

 

이러한 문구가떳습니다. 

난독화첫번쨰를 헤제를 했습니다.

 

 

 

 

 

 

 

 

 

링크는 여기나와있지만 난독화로 숨어져있다는 것을 알수있습니다.

 

 

 

 

 

 

 

301 Moved Permanently

301 서버코드는 영구적으로 이동됬다.

 

 

 

 

 

 

 

 

 

 

====================================================

두번쨰 난독화

 

 

 

 

 

 

 

사용자의눈을속이기위한.

이것을 한번 찾아내보자

 

 

 

 

 

 

위에서 했던 

 저런 코드 숫자들이나왔던 것은 별로 의미가없는 코드들이였고

 

 

 

 

 

 

 

 

 

 

또 이파일을 보니까 또 하나의 주소이동이발생했는데

경고창에나온주소랑 똑같았다.

 

 

 

 

 

 

 

 

파일을열고

 

이렇게되있는데

 

 

 

 

 

 

 

control + h하고

 

 

HpgGPurjqOYUiC5m7E5zI2wHXAm24wxwmggdLh9hcKGSGbppx60yndvFey7dcIfkeewV4gW9zQygkLmyIxfXuTrq4UiScQyEMooLcCBXaC7cWRvYX1wru35AddQrO5QRwn2hr

 

 

을전부 a로

치환한다

 

 

 

 

 

 

이렇게되는데

 

한번더치환한다

 

 

vaRwn2hr Nxmef 

이것에 Rwn2h을 빼면

var Nxmef이됩니다.

 

 

control + h 를 하고

 

 

Rwn2h를 전부 치환한다

 

밑에는공백~

 

 

 

 

 

그럼이렇게되는데

 

 

eval 함수가 실행시키는 함수인가 그런데

그것을 삭제하고

 

<script>

</script>

alert

삽입한다.

 

 

 

 

성공하였습니다 마지막 난독화...

 

 

 

 

 

 

 

==============================================

 

하아..난독화

 

 

 

 

 

 

 

세번째 난독화

 

 

 

 

 

 

 

 

그러면 이것이뜨는데

복사한후

자바스크립트 가독성 좋게만드는 사이트를 검색해 뷰티로 수정을한뒤

 

이렇게 이쁘게되는데

 

 

구글크롬에 띄워서

개발자모드를 확인해보면 ws가 포함되있는것은 오류가난다.

 

ws가포함되있는것을 지우고

get 포함된것을 지우고, false를 지운다

 

그리고 x.open을 지우고 alert (경고창) 을 넣습니다.

 

그리고

<script>

</script> 를 넣고

 

.html로 바꾸고

 

 

 

 

 

그러면 이런 우리가원하는 패이지 내용이 나온다.

이곳에 문제가있다

 

 

 

 

==========================

 

바이러스 파일 찾기

 

 

 

 

 

바이러스 토타을봤을떄 이런게있었고

 

이어서

 

 

 

 

 

wireshark에서보면

203.136.26.180 -> 10.4.26.101로

exe파일을 건네주었다

 

 

 

저 http stream 을

밑에

203.136.26.180 -> 10.4.26.101로

변경을 하고 hexdump 를 하고

 

수동으로 덤프를 본다

 

잘보면 mz시그니쳐가 있다.

 

 

data를 hex로 시그니쳐를 본뒤에

 

 

 

 

 

 

 

 

이제 raw로바꾸고나서

 

4d 5a 90 00 (mz 시그니처)

으로 시작하는곳부터 끝까지 복사를한다. 빈공간없이

 

 

 

 

 

 

 

 

hxd에 복사 붙여넣기를 한번해보면

잘됬고

 

이파일을 .exe로 저장을하고

 

 

 

virustotal에 넣어보게되면

 

 

 

 

 

 

 

 

바이러스파일을 찾는데 성공하였습니다.

 

 

 

 

 

 

이렇게 딱나오긴하지만 연결이되지가않으니까

wireshark 응답값을 가지고 덤프를 떠냈습니다.

 

 

 

 

 

 

 

 

 

예를 들면 스크립트를 삽입해 알람창을 띄워서 난독화를 진행하였습니다

 

 

 

플러그인으로 위장한 자바 스크립트에서 악성코드 유포 서버의 주소가 난독화된 상태로 저장(난독화1)

 

난독화1를 해제한 주소로 접속하면 또 난독화된 코드가 등장 - redirection 코드

-html,script,alert삽입,

 

 

난독화를 해제한 주소로 접속하면 또 난독화된 코드가 등장

- a로치환, 공백으로 치환, eval 함수제거후 alert삽입,script삽입

 

 

난독화를 해제한 주소로 접속하면 exe 실행파일 경로 등장 

- 자바스크립트 가독성 좋게만들고, ws삭제, get,false삭제, xo.open 대신 alert삽입

 

 

 

바이러스 추출

바이러스 검사.