본문으로 바로가기

공다팩에 대한 생각

category Talk About/Security 2013.08.27 12:40



추측해보면 공다팩의 Dadong's JSXX 0.44 VIP 라는 문구열의 의미는 내용은 다음과 같을 수 있다.


난독화 생성 도구가 Dadong's JSXX

난독화 버전이 0.44

감염 PC 제어 도구가 VIP

(때론 유포지가 CK VIP와 공다팩을 혼용인 이유가 제어 도구가 VIP라는 공통점 때문일지도 모른다.)


수많은 관련 포스팅을 봐왔지만, 실제 제작도구를 분석한 포스팅은 보지 못한 관계로 해당 공격 도구를 "Gong Da EK"라고 부르는건 '가제'가 아닌가 싶다.


Dadong, gnodad, gondad 모두 명확히 Gongda라고 부르기가 애매모한 이유는 다음과 같다.


  • vbscript 역순 난독화에서 사용되는 split 변수명이 gnodad.
  • ck vip, jsck vip, 공다팩, kaixin 등 난독화를 풀면 사용되는 자바 취약점 class명과 변수명들이 gondad로 유사함.
    (유사하기 보단 POC코드에서 악성코드 실행부분를 변수로 받도록 설계함.)
  • 악성코드 위치만 재설정함으로써 재사용성을 높이는 형태들로 만들어져 있음.
    (그래서 다양한 공격도구에서 동일한 취약점 코드를 볼 수 있음.)

추가. 설마 쟤네 다 같은 도구에서 나온게 아냐? 라고 생각 할 수도 있지만 CK공격툴이 웹 어플리케이션으로 제공되고 있는 스크린샷을 봐서..


뿌리가 같다면 뿌리를 캐야 속이 시원해질듯. 아니면, 누가 캐놓은것도 감사한데.


일단 그 뿌리를 발견 못한건 검색실력이 부족하거나. 공격코드 생성 방법이 웹 기반 유료 서비스에 사용자 인증까지 거쳐야지만 가능하거나. 공격자가 한명 혹은 팀이고, 중국의 도메스틱 툴이거나.


그래도 콘타지오의 밀라누나도 'Gong Da EK'로 통용해서 쓰니 걍쓰자.


Reference

[1] : CK와 VIP에 대한 정보 (http://www.cysecta.com/2013/06/12/ck-vip-cookies-and-botnets/)

[2] : Mila's Contagio의 Overview of exploit packs (http://contagiodump.blogspot.kr/2010/06/overview-of-exploit-packs-update.html)

저작자 표시 비영리 동일 조건 변경 허락
신고

'Talk About > Security' 카테고리의 다른 글

취약점과 취약성  (0) 2013.09.25
Underground Malware Industry  (0) 2013.08.27
공다팩에 대한 생각  (0) 2013.08.27
meta를 이용한 html파일 읽기.  (0) 2013.06.21
공격자들이 자주 이용하는 레지스트라(registrar)  (0) 2013.06.05
악성코드 스트링값  (0) 2013.05.09

댓글을 달아 주세요

티스토리 툴바