본문으로 바로가기

1. About

Gondad Exploit Toolkit이라는 중국에서 만들어진 툴킷이 있다. 여러 툴킷에 대한 정보가 모이면 포스팅한 곳의 내용을 지속적으로 수정 하니 일단은 이곳(click)을 참조하면 된다. 이 Gondad 툴킷은 여러 유형의 취약점을 이용한 공격코드들을 모아서 난독화(Obfuscation)을 하는 기능이 있다. 이를 Obfuscation Exploit Pack Code라고 말할 수 있다. 난독화를 해제하여 가독성 있는 코드를 보면, 다양한 변수들에 사용되는 명칭이 'Gondad' 혹은 'Dadong'을 사용하기에 붙여진 이름이다. 발음상 가장 가까운 단어 중에 다음과 같은 중국 단어가 있다.


[그림 1 네이버 백과사전]


일반적으로 난독화를 한 후 필수적으로 들어가는 /*Encrypt By <Site name>'s JSXX 0.44 VIP*/ 의 문장이 있다.


[그림 2 일반적인 공다팩 코드]


이 문장이 나타내는 것은 난독화(Obfuscation)을 한 툴킷의 버전, 그리고 악성코드 유포지 사이트에 대한 정보를 가지고 있어 공다팩의 트레이드 마크라고 봐도 무관한 부분이었다. 하지만 최근에는 고정적인 이 문자열을 이용하여 패턴탐지를 이용하려고 하니 응용하여 변형된 코드들이 보이기 시작한다.


[그림 3 패턴탐지 우회를 위한 공다팩 코드]


위의 사진과 같이 고정적으로 들어가는 문자열 대신 ip주소와 포트넘버가 있는 경우가 있다.


[그림 4 한번 더 난독화 한 공다팩 코드]


또한 위와 같이 완성된 난독화를 한번더 꼬아버리는 형태도 발견되고 있다. 위의 난독화는 <script language=vbscript>를 사용한 것으로 보았을 때, ie에서만 실행 되는 것으로 추측할 수 있다.


그외 다양한 패턴탐지를 우회하기 위한 방법들이 보여지고 있으며, 이를 활용한 다음 난독화 버전이 나올 것으로 추측된다.


댓글을 달아 주세요

  1. 나그네 신고">2013.01.22 17:12 신고

    다양한 방법으로 변종이 생겼내요.
    역시 창과 방패의 싸움인 것 같습니다.
    좋은 정보 감사합니다.

    • Favicon of http://www.hakawati.co.kr BlogIcon hakawati 신고">2013.01.23 12:10 신고

      아무리 발전하고 연구해도 끝이 없는 싸움이기에 완벽한 보안 솔루션이란 없는 것 같습니다. 보안의 중요함을 보여주는 부분으로 생각됩니다.^^
      감사합니다.

티스토리 툴바