본문으로 바로가기

악성코드 유포지로 등록된 URL의 코드를 분석 중 위와 같은 코드를 발견하였다.

처음에는 단순히 웹 개발자가 들여쓰기를 하지 않은 코드로 생각을 하였지만, 맨 위의 Parameter, Jar file, class의 쓰이는 모습을 보니 악성코드 냄새가 풀풀 풍기기 시작했다.

비슷한 코드들을 사용하는 다른 URL을 보게되고 악성코드로 분류하였지만, 공격자는 어떻게 이러한 코드를 작성 할 수 있었는가에 대한 궁금증을 가지고 있었다.

취약점 관련 rss피드를 보다가 Xenda's Blog에서 "Xenda's Blog : RedKit Patterns – Additional Info to @fknsec Writeup"

의 제목의 글을 보았다. 1~5가지 Redkit 패턴들을 정리하였지만, 위의 코드에서 확인 할 수 있었던 패턴은 2번과 4번 뿐이었다.

좀더 검색을 해보니 McAfee Blog에서 "McAfee Blog : Red Kit an Emerging Exploit Pack"의 제목으로 최근 Red Kit 코드에 대한 정리된 내용을 볼 수 있었다.

이 페이지의 시나리오는 다음과 같다.

  1. 유저의 브라우저는 Redkit Landing Page로 리다이렉션 하는 코드를 통해 공격자가 만들어 놓은 웹페이지에 접근한다.
  2. 유저는 정상적으로 웹페이지를 이용하지만 브라우저는 내부적으로 Redkit Landing Page의 정보를 읽는다.
  3. Redkit Landing Page에는 취약점을 이용한 공격 코드가 포함되어 있다.
  4. 해당 취약점에 대한 보안업데이트를 하지 않은 유저인 경우 악성코드에 감염에 노출 된다.

MacAfee에서는 jar파일(Java 취약점 CVE-2012-1723)과 pdf파일(CVE-2010-0188)을 사용한다고 되어있다. 즉, 332.jar, 887.jar와 987.pdf는 Payload가 되는 것이다.

RedKit에 관련된 서로 다른 악성코드 유포지의 URL을 비교해 보았을 때 다음과 같은 공통점들을 찾을 수 있었다.

  1. http://[유포지 URL]/332.jar
  2. http://[유포지 URL]/887.jar
  3. http://[유포지 URL]/987.pdf
  4. var Ganni = version:"0.7.7",rDate:"04/11/2012",name:"Ganni"

RedKit의 내부적인 모습을 보고싶으면, 다음 페이지를 방문해 보고

Malware don't need Coffee : Inside RedKit Exploit Kit - Exploit Kit Customer Control Panel

상세한 공격코드를 보고 싶으면, MalwareMustDie가 2013년 1월 11일에 등록한 다음페이지를 방문해 보길 바란다.

PASTEBIN : RedKit - Landing page script 20120112

Reference

[1] : RedKit Patterns – Additional Info to @fknsec Writeup

[2] : Red Kit an Emerging Exploit Pack

[3] : RedKit - Landing page script 20120112

[4] : Inside RedKit Exploit Kit - Exploit Kit Customer Control Panel

[5] : What happened if Red Kit Exploit Kit team up with BlackHole EK? = Tripple payload + infection of Khelios!


댓글을 달아 주세요

  1. 나그네 신고">2013.02.05 08:13 신고

    자료를 많이 수집하셨내요..
    좋은 정보 감사합니다.

  2. Favicon of http://kjcc2.tistory.com BlogIcon 처리  신고">2013.02.21 16:12 신고

    안녕하세요^^
    다름이 아니라 해당 Redkit이 국내 변조 된 사이트에서 발견 된 것인가요?

    • Favicon of http://www.hakawati.co.kr BlogIcon hakawati 신고">2013.02.28 16:18 신고

      안녕하세요 처리님. 블로그 잘 보고 있습니다.

      보편적으로 국내 사이트를 변조를 한다면 exploit toolkit의 난독화된 코드를 직접적으로 사용하지 않습니다. 그렇게 되면 파일 사이즈의 큰 변화가 일어나기 때문입니다. 최근 이슈화 된 watering hole attack에 따라 HTML코드 혹은 Javascript를 이용하여 유포지로 이동하게 되는데 이 유포지의 코드가 국내에서는 공다팩, Blackhole v2.0, Redkit으로 발견되었습니다.

      답변이 늦어서 죄송합니다. ^^

    • Favicon of http://www.hakawati.co.kr BlogIcon hakawati 신고">2013.02.28 17:20 신고

      죄송합니다.
      조금 잘못 언급한 내용이 있어서 한번 더 댓글을 답니다.
      국내 사이트에서의 변조가 맞습니다. 하지만 변조된 코드는 경유지라고 하는 것이 맞는 것 같고, exploit코드는 공격자 서버 혹은 국내 서버를 이용해 사용합니다. 국내 서버를 사용하게 되면 "XX에서 악성코드를 유포합니다."라는 기사가 나옵니다.

      감사합니다.

  3. 2013.03.01 01:10

    비밀댓글입니다

    • Favicon of http://www.hakawati.co.kr BlogIcon hakawati 신고">2013.03.01 02:05 신고

      안녕하세요.

      유포 혹은 경유지로 사용되고 있는 국내 사이트는 해당 기업 이미지에 대한 민감한 정보이기에 어려울 듯 싶습니다.

      감사합니다.

  4. 2013.03.05 14:59

    비밀댓글입니다

티스토리 툴바