본문 바로가기

새빨간거짓말

[소식] 9.11 악성코드 배포

안녕하세요.. RedHidden 입니다..

아주 오랜만에 제 블로그에 출연하네요.. ^^;;; 

오늘이 잊고 있었던 9.11 테러 발생한 날이더군요.. ㅠ_ㅠ





9.11 에 맞춰서 천사가 활동을 게시했네요... 저도 활동중~~ .... 주의를 요합니다 !!! 제 활동 말고요.. ㅋㅋㅋㅋ


최근 국내무대를 기반으로 가장 활발하게 활동하고 있는 2개의 Web Exploit Toolkit 이 있습니다. 

Gongdad Pack(일명, 공다팩), Chinese Kit (일명, CK) 


오늘 9.11 기념으로 활동하는 녀석은 CK 이고, 파일명도 911.html, 911.exe 로 배포되고 있습니다. 


-> hxxp://xxx.xxx.xxx.xxx/js/wr.html 

-> hxxp://xxx.xxx.xxx.28/911.html (CK:Chinese Kit Landing Page) 

-> hxxp://xxx.xxx.xxx.28/911.exe 


사실 Web Exploit Toolkit 은 지속적으로 활동해오고 있고, 매일매일  URL과 악성코드를 변경하고 있습니다. 

내일이면 이 도메인도 사라질지 모릅니다...... 스피드가 생명이네요.. ㅠㅠ 

 

악성코드 배포를 위해 사용되는 취약점은 자바 취약점입니다. 

    • 자바버전 : wmck == 170  or wmck >17006 && wmck < 17011
    • 취약점 : CVE-2013-0422

    • 자바버전 : wmck >= 17000 && wmck < 17007
    • 취약점 :  CVE-2012-4681

    • 자바버전 : wmck<=16027
    • 취약점 : CVE-2011-3544


실무자들을 위한 팁하나 드리겠습니다. 


해당 CK는 다양한 취약점을 이용하지만 떨구고자하는 악성코드의 URL은 동일하게 사용합니다. 

그 URL은 자바 파일에 있는 것이 아니라 자바 파일이 탑재된 다음 스크립트 파일에 존재합니다. 

해당 데이터를 디코딩하면 911.exe 다운로드 URL을 얻을 수 있습니다. 


function ckl(){

var bmw=[... 중간생략.....,209,215,206,216,208,208,205,260,279,260,159]; 

return bmw;

     }