'Microsoft Works 7'에 해당되는 글 1건

  1. 2009.09.01 악성스크립트 (***.or.kr)
0x02 analysis2009. 9. 1. 16:03


오랜만에 악성스크립트를 몇개 만났습니다.




25일 오전 10시쯤에에 메일을 받은 녀석인데요..
LastWriteTime이 24일 저녁 10시와 25일 오전 8시쯤이군요..

전부 인코딩되어 있거나 패킹 또는 자체적인 함수를 사용해서 알아보기 힘들게 해놨습니다. -_-;;
10개의 파일 중 모체가 되는 녀석이 6.htm인데요 요녀석부터 살펴보도록 하겠습니다.


6.htm




디코딩해보면 다음과 같습니다.




전형적인 악성스크립트입니다. width와 height가 0입니다.
요즘은 width와 height는 정상적인 사이즈로 주고 visibility를 hidden으로 해서 보이지 않게 하는 경우도 있더군요..

위에 보시는것처럼 6.htm 페이지가 클라이언트에 의해 요청되면 다른 페이지들(htm, gif, js)도 연달아 요청이 됩니다.
확인결과 gif도 악성스크립트였습니다.


06014.htm




요놈은 좀 기네요...공격을 위한 스크립트가 들어있을거라 예상해봅니다.
디코딩해봤습니다.




보시는것처럼 clsid:BD96C556-65A3-11D0-983A-00C04FC29E36가 있습니다.
파일명에서 보시는것처럼 MS06-014 MS Internet Explorer(MDAC) Remote Code Excution Exploit 취약점을 공격하기 위한 스크립트입니다.


811.gif




파일명만 gif고 실체는 VBScript 입니다.
위 그림에서는 안보이지만 마지막 라인에 Execute DC(Q)라는 라인에서 문자열을 함수에 넣어서 실제 스크립트를 만들어내고 실행하고 있습니다.
실제 스크립트는 다음과 같습니다.



자바스크립트입니다.
위 악성스크립트는 milw0rm에 있는거랑 똑같네요..


Microsoft Works 7의 wkimgsrv.dll 파일에서 발생하는 취약점을 공격하는 코드입니다.
공격이 성공하면 쉘코드를 실행하게 됩니다. EvilCuteCode로 되어 있는 부분이 쉘코드입니다.


853.js



이번에도 VBScript로 되어있군요..
역시나 쉽게 알아보지 못하게 꼬아놨습니다. -_-;;
못 풀것도 없습니다. 



이제서야 본색을 드러내고 있군요... hxxp://www.cuteqq.cn/asp/calc.exe
전혀 귀엽지 않은 녀석이 cute라는 단어를 쓰고 있으니 좀 거북하군요...-_-;;

위 실행 파일을 AIG.scr로 저장하고 실행하는 것으로 보입니다.
그림에서는 짤렸지만 제일 마지막에 나오는 스크립트를 보면 Loading.......이라고 출력만 합니다.
즉, 사용자가 보기에는 로딩되고 있는가?? 라고 생각하게끔 만들고 취약점을 공격해서 실행파일을 AIG.scr로 저장하는 것이죠..
앞서 보셨던것과 동일하게 MS06-014 취약점을 공격해서 calc.exe 파일을 실행하고 있습니다.


f9.htm




이번 파일은 SWFObject가 있는 것으로 보아 플래쉬 플레이어 취약점을 공격하는 공격코드인 듯 합니다.
물론 아닐 수도 있습니다. ^^;;
일단 인코딩되어 있으니 디코딩해서 코드를 살펴봐야겠습니다.




 

f10.htm







디코딩을 두번이아 했습니다. 그런데도 아직 인코딩된 문자열들이 남아 있네요..
유니코드로 인코딩되어 있는 부분은 shellocde입니다.
위 공격스크립트는 Ourgame 'GLIEDown2.dll' ActiveX Control Remote Code Execution 취약점을 공격하는 스크립트입니다.
첫번째 줄에 나온 clsid를 보면 알 수 있습니다.


여기에 있는 스크립트와 비슷한 스트립트네요..


mpg.htm





이번엔 디코딩했던니 패킹되어 있는 녀석이군요..(참 골고루 하고 있습니다)
패킹되어 있는 녀석을 언패킹해서 코드를 볼려고 했는데 계속 illegal character라고 나오더군요..
아마도 코드를 복사하는 과정에서 오타(?)가 나서 몇 글자 빼먹었거나 추가되었을 가능성이 커 보입니다.
일단은 직접 코드를 실행해보고 결과를 확인해보도록 하겠습니다.


092.htm






092.htm 파일은 811.gif와 동일한 파일이었습니다.
다른거라고는 일부 변수명만 다를뿐 쉘코드도 동일한 쉘코드를 사용하고 있었습니다.
아마도 여기저기서 악성스크립트 모아다가 페이지를 만든거 같은데 중복된걸 깜박했나 봅니다. -_-

914.htm






이번 스크립트는 Real Player rmoc3260.dll ActiveX Control Remote Code Execution Exploit 이었습니다.

http://www.milw0rm.com/exploits/5332

aces.gif




이번에도 패킹된 녀석인데 위에서 보셨던 mpg.htm과 동일하게 illegal character라고 나옵니다.
이것도 직접 실행해서 어떤 증상이 나타나는지 확인해봐야겠습니다.

 
언패킹되지 않았던 mpg.htm과 aces.gif는 모두 스크립트가 정상적으로 동작하지 않았습니다.
즉, 패킹된 데이터가 정상이 아니라는 이야기겠지요..

결국 www.cuteqq.cn/asp 에서 calc.exe를 다운 받아 실행하는 것으로 보이는데 직접 접근해 봤지만 다운로드가 안되고 있었습니다.
이게 보통 PoC 코드를 그대로 써서 PoC 코드에서 주로 시연하는 실제 계산기인지 아니면 이름만 calc.exe이고
실제 악성코드인지는 확인이 되지 않고 있습니다.



이번에도 반쪽짜리 분석이 되고 말았네요..-_-;;

오랜만에 쓴 글인데 아쉽습니다..








Posted by demantos