안녕하세요.. RedHidden 입니다..
아주 오랜만에 제 블로그에 출연하네요.. ^^;;;
오늘이 잊고 있었던 9.11 테러 발생한 날이더군요.. ㅠ_ㅠ
9.11 에 맞춰서 천사가 활동을 게시했네요... 저도 활동중~~ .... 주의를 요합니다 !!! 제 활동 말고요.. ㅋㅋㅋㅋ
최근 국내무대를 기반으로 가장 활발하게 활동하고 있는 2개의 Web Exploit Toolkit 이 있습니다.
Gongdad Pack(일명, 공다팩), Chinese Kit (일명, CK)
오늘 9.11 기념으로 활동하는 녀석은 CK 이고, 파일명도 911.html, 911.exe 로 배포되고 있습니다.
-> hxxp://xxx.xxx.xxx.xxx/js/wr.html
-> hxxp://xxx.xxx.xxx.28/911.html (CK:Chinese Kit Landing Page)
-> hxxp://xxx.xxx.xxx.28/911.exe
사실 Web Exploit Toolkit 은 지속적으로 활동해오고 있고, 매일매일 URL과 악성코드를 변경하고 있습니다.
내일이면 이 도메인도 사라질지 모릅니다...... 스피드가 생명이네요.. ㅠㅠ
악성코드 배포를 위해 사용되는 취약점은 자바 취약점입니다.
- 자바버전 : wmck == 170 or wmck >17006 && wmck < 17011
- 취약점 : CVE-2013-0422
- 자바버전 : wmck >= 17000 && wmck < 17007
- 취약점 : CVE-2012-4681
- 자바버전 : wmck<=16027
- 취약점 : CVE-2011-3544
실무자들을 위한 팁하나 드리겠습니다.
해당 CK는 다양한 취약점을 이용하지만 떨구고자하는 악성코드의 URL은 동일하게 사용합니다.
그 URL은 자바 파일에 있는 것이 아니라 자바 파일이 탑재된 다음 스크립트 파일에 존재합니다.
해당 데이터를 디코딩하면 911.exe 다운로드 URL을 얻을 수 있습니다.
function ckl(){
var bmw=[... 중간생략.....,209,215,206,216,208,208,205,260,279,260,159];
return bmw;
}
'새빨간거짓말' 카테고리의 다른 글
CVE-2014-0322 제로데이 취약점 (0) | 2014.02.17 |
---|---|
CVE-2013-3893 IE zeroday 취약점 분석 (1) | 2013.10.10 |
[열한번째 거짓말] CVE-2011-2110 Adobe Flash 취약점 (53) | 2011.07.06 |
[열두번째 거짓말] CVE-2011-1255 MS11-050 MS time element 취약점 (0) | 2011.06.27 |
[열번째 거짓말] Droid Dream Light(DDLight) 분석 (1) | 2011.06.01 |