---------------------------------------------------------------------------------------
우연찮게 악성코드를 입수하여 분석을 진행 하였습니다.
제가 원하던 업무가 이거구나 하는 즐거움으로 진행 합니다.
향후 반어를 사용하므로 이점 미리 양해 부탁 드립니다.
---------------------------------------------------------------------------------------
지인과의 이야기를 나누던 중 MS 취약점을 이용한 악성 코드가 유포 되었다는 이야기에 부랴부랴 인터넷 서핑을 했다.
그로 인하여, 아래의 파일을 구할 수 있었다.
|
703ed7b0401c071564b9eeb743be4115f31b |
HTML |
|
e05e0113c167ba3878f73c64d55e5a2aff9a |
SWF |
|
152010b5a90c9a3fa4398f9e4595f95d4df2 |
JPG |
악성 코드 유포 방식은 아래와 같다.
|
HTML -> SWF 실행 -> JPG 파일 다운로드 -> JPG 특정 영역 메모리에 Load -> SWF에서 puIHa3() 호출 -> HTML 내부에 있는 pulHa3() 실행 - > 악성코드 실행 및 드랍(?) |
전체 흐름은 위와 같으므로 부분으로 나눠서 따라가 보도록 하자.
먼저 HTML 코드를 확인 해보도록 합시다.(취약점은 Use After Free.)
이렇 듯 HTML 에서는 SWF 파일을 호출 하게 된다. 호출 된 SWF의 Action Script 정보를 추출하면 아래와 같은 내용이 나오게 된다.
SWF 파일의 Erido.jpg 파일을 로드 하는 것을 볼 수 있다. 그러나, Erido.jpg 파일을 그냥 로드 하는 것이 아니라
Endian.LITTLE_ENDIAN 형태로 읽어 드린 후 offset "36321" 위치 부터 메모리에 올리는 것을 확인 할 수 있다.
바이너리 파일은 아래와 같이 10진수로 표시된 것을 16진수로 변환하게 되면 binary 및 쉘코드를 확인 할 수 있다.
그 뒤, 메모리에 올린 이후 HTML 내부에 있는 puIHa3()를 호출하여, 쉘코드를 실행 하게 된다.
여기까지 분석하였으며, 이후 분석은 아래의 사이트를 참조하길 바란다.
http://redhidden.tistory.com/47
'Reverse > 분석 문서' 카테고리의 다른 글
| [WinDbg 따라하기 - 0x00A] crash 파일 분석 하기 (0) | 2014.03.13 |
|---|---|
| [WinDbg 따라하기 - 0x009] Interrupt 확인 하기 (0) | 2014.03.10 |
| 유휴 프로세스(System Idle Process) (0) | 2014.02.17 |
| 문자열 우회 예시 (0) | 2014.02.10 |
| [WinDbg 따라하기 - 0x008] VMWare windbg 연결 하기 (0) | 2014.01.29 |