티스토리 뷰


최근에 NeoSploit이라는 웹공격 툴킷을 접해볼 기회가 생겼습니다..
물론, 설치본 말구 스크립트 분석관점에서 말이죠.. 흐흐흐...

NeoSploit은 2007년 최초로 출현하여 최근까지 다양한 도메인을 통해서 탐지되는 대표적 웹 공격 툴킷(Exploit ToolKit)으로 난독화 코드 관점에서 본다면 근본적 형태에서는 아주 큰 변화는 없으나 꾸준히 업데이트 되고 있는 듯 합니다.

데이터를 통해 나름 확인해 본 NeoSploit의 큰 4가지 특징을 잠깐 살펴볼까요???

 1) 속지말자!! NeoSploit 도메인에~ 
다음과 같이 정상도메인과 유사한 도메인을 사용해서 사용자를 속이고 있다.. 

 정상사이트  Google  Yahoo  Bing
 NeoSploit사이트  boxgoogle.info
 XXXgoogle.info
 smartyahoo.info
 XXXyahoo.info
 netbing.info
 XXXbing.info

2) 경로명에 주목하라.....
대부분 디폴트 설치를 많이 하기 때문에 공통된 URL 패턴정보를 보이고 있다. 
어머머~~~ 경로명만 보고도 알겠짢아.. ㅋㅋ.. 가장 대표적으로 /tre/, lena, boba 를 잘 사용한다.

http://[도메인]/tre/lena.[확장자]
http://[도메인]/tre/boba.[확장자]
 
3) IP로 막아라.....
일반적인 악성도메인의 경우와 같이 1)번과 같이 도메인은 엄청나게 생성/소멸되고 있으나 IP를 한정되어 있다.
아무래도 IDS/IPS 패턴제작자라면 IP로 막는 것도 좋을 것이다.

 XXX.XXX.125.154
 XXX.XXX.179.100

4) 클라이언트 정보를 보내는 데도 패턴이 있다.
NeoSploit은 URI에 클라이언트 정보를 담아서 서버에 전달함으로써 클라이언트 환경에 최적화된 Exploit이 실행되도록 설계되어 있다.

전달값 : Q00000000900800F00000000J00000000L6b6f0000000000000000
전달정보 : QuickTime/ Mimetype(video/x-ms-wmv)/Adobe Acrobat/Shockwave Flash/Java/시스템 언어


흠.. 그럼 이제 코드롤 보아봐요~~~ ^^;;;

NeoSploit은 다음 같이 3번 정도의 난독화를 해제하면 우리가 알아볼 수 있는 취약점 코드를 발견할 수 있는데...
때에 따라서는 중간에 PDF 취약점이 들어간다면 PDF 취약점과  PDF안의 스크립트까지 난독화되어 있어 이것도 풀어야한다는.. ㅋㅋㅋ


Level 1 -> Level 2 -> Level 3 -> Level 4 

              Level 1                

NeoSploit은 접속할 때만 새로운 데이터와 변수들로 난독화 코드를 재포장한다.. 나쁜놈~~ --;;
그러나, 난독화를 위해 사용되는 함수패턴이 동일하기 때문에 ....
아래 3단 콤보를 잘 파악하면 "
~~~ 야가 야구낭~~~" 하고 금방 알아차릴 수 있을 것이다.. ^^;;

--- 1단 : 난독화된 자바스크립트
--- 2단 : 요상하고 긴 Value 값을 갖는 Input 태그들
--- 3단 : 페이지로딩 시 1단 코드를 실행시킬 함수호출








              Level 2                

2단계에서 확보된 코드는 난독화가 심하게 되어 있지는 않아서, 눈치가 빠르거나 취약점을 많이 접해 보신 분들이라면 금방 어떤 취약점들을 이용할 것이라는 걸 예상해볼 수 있다.

해당 2단계의 코드 또한 크게는 2단 콤보로 되어 있다.

--- 1단 : 클라이언트의 환경정보 추출코드
--- 2단 : DOM 개체를 통해 동적으로 script src를 연결하는 코드  




위의 코드에서 바로 클라이언트의 정보를 추출해서 서버에 던지고, 클라이언트에 적합한 Exploit를 내려보내도록 하는 것이지요...




              Level 3                

* Sizzle CSS Selector Engine(http://sizzlejs.com/) :  jQuery에서 파생된 것으로 CSS3를 지원하고 속도가 빠르다는데... . 사용을 안 해봐서 저는 잘 모릅니다..... ^^;;;





              Level 4                

아하~~~ 드디어 우리가 알아볼 수 있는 취약점 스크립트가 보입니다.
일단 제 클라이언트 환경에서는 3개정도 보내주네요.. ^^;;

* 사용된 취약점

CVE-2010-0840 : Java Runtime Environment component Vulnerability
CVE-2010-0886 : Java Web Start Argument Injection (Java Deployment Toolkit )
CVE-2010-0188 : PDF LibTIFF integer Overflow Vulnerability

              Level 5                

[iframe] CVE-2010-0188 : PDF LibTIFF integer Overflow Vulnerability

다음과 같이 해당 취약점이 PDF 인 경우, PDF 파일 속의 자바스크립트도 풀어야한다는... ^^;;; 






 

[참고] Shedding light on the neosploit exploit kit
http://www.computersecurityarticles.info/antivirus/shedding-light-on-the-neosploit-exploit-kit/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+ComputerSecurityArticles+%28Computer+Security+Articles%29

 

댓글
댓글쓰기 폼