티스토리 뷰


이번 Adobe Flash 제로데이 취약점 악성 SWF 파일의 전체적인 동작원리는 다음과 같습니다.




1) 파라미터 "info=" 를 통해 URL 획득
2) URL Request(hxxp://[서버주소]/ss.txt) 를 통해 Size: 34790 데이터를 받아옴
   받아온 파일을 디코딩하고 나면 PE 파일이됨
3) 최종적으로 메모리 상에 올라오는 쉘코드의 동작은
- %temp% 폴더에 scvhost.exe 파일을 생성
- 받아온 PE 파일을 scvhost.exe 파일에 Write
- 해당 파일을 Exec (cmd.exe /c scvhost.exe)


악성 SWF 파일은 다음과 같이 웹 사이트에 삽입되어 있습니다.


해당 악성 SWF 파일이 요청하는 URL과 URL을 통해서 받아오는 PE을 추출하기 위한 Decoding Tool(Python2Exe) 입니다.


 

 (패스워드보호: 필요하신 분들은 연락주세요)

 


adtool.exe Version 1.1 을 새롭게 릴리즈합니다.

기존의 디코딩을 통해 추출된 URL은 절대경로를 갖는 Full URL 정보를 가지고 있었으나
최근에 발견된 사례 중에는 추출된 URL이 상대경로를 갖는 URL을 갖는 경우가 있습니다. 
따라서, 아래와 같이 info_value 값이 아니라 전체 swf URL을 입력받는 방식으로 변경하였습니다. 

(패스워드보호: 필요하신 분들은 연락주세요) 

아래와 같이 입력은 반드시 http:// 를 포함한 전체 URL을 입력해주시기 바랍니다.
 

 adtool>adtool.exe
========================================
 adtool v1.1 (by RedHidden)
 Decoding Tool for CVE-2011-2110 Adobe Flash (.swf) file
        2011.06.17 - v1.0
        2011.07.06 - v1.1
========================================
-> Enter a Full URL with 'http://':http://[server]/main.swf?info=02......

---- Processing ------
# FULL URL :
http://[server]/main.swf?info=02 ..... 생략....
# INFO VALUE : 02... 생략....
XOR key(Int):122
# XOR KEY : 122 (0x7a)
# Temp Data :?뎠536첪?{zo츁
# URL : gnXXXX.txt
# Request URL :
http://[server]/gnXXXX.txt
# Received Data : 67216
# MD5 :  ...... 07b2fb323712840899c73
# OutputFile : ./out.dat (PE File)


정보 제공해 주신 "꿈속의 새"님께 감사드립니다. ^^


댓글
댓글쓰기 폼