침해사고 분석 패킷 - 8

 

packet total에서보니까 새로운 유형이라서 여기서는 아직판단을하지못한다

 

 

 

 

wireshark를 보면 three hand shaking이 진행되었었고 10.5.26.102가 피해자였습니다

 

view.js를 한번 열어보게되면

 

 

 

 

 

이런 파일이있는데 iframe  이있다

 

redirection을 하는 코드가있다.

 

 

 

 

그래서 이페이지를 한번열어보게된다면

굉장히 많은 글자들이있습니다.

 

 

 

html로열어봤는데아직은 잘모르겠습니다.

 

 

 

 

 

 

flash 파일도 있고 html

 

아직은

 

 

 

악성 스크립트 분석 키워드

 

http

eval

 

 

 

한번 파일을 열어보게되면

 

 

 

엄청나게많은데

코드를 한번찾아보자

 

 

이코드를 찾았는데 이코드를 이쁘게만들어서 찾아야하는데.

 

 

 

 

 

만약 xcukza 가 널이 아니라면 

이코드의 실행은

 

eval 이된다.

 

ev

asdokaspodkaopsk

al()

= eval 이렇게 쪼개서 아무 문자를 넣고

난독화를 해버린 것이다

 

 

 

 

이 eval() 을 => alert로 바꿉니다.

 

 

그렇게하면 

eval -> alert가 됩니다.

 

 

 

 

수정해서 google chrome 에 띄워보게되면

 

이렇게 나옵니다.

 

5번째랑 6번째 링크를 보니까

 

http 가 포함이되있었고

 

 

 

 

 

두개를 합쳐서 보면

 

 

 

 

 

 

여기에있는것이 악성코드 주소였고

 

 

 

 

 

 

 

 

 

1. eval -> alert url 추출

 

2. 5,6 스크립트만 추철해서

원래 html <script> 에 삽입

 

3.개발자모드로 내장함수(ws. ~~~)제거

4. 1번에서 변경한 alert 를 다시 eval로 복원

 

5. http 가 포함된 문자열을 alert 추가