추측해보면 공다팩의 Dadong's JSXX 0.44 VIP 라는 문구열의 의미는 내용은 다음과 같을 수 있다.
- 난독화 생성 도구가 Dadong's JSXX
- 난독화 버전이 0.44
- 감염 PC 제어 도구가 VIP
때론 유포지가 CK VIP와 공다팩을 혼용인 이유가 제어 도구가 VIP라는 공통점 때문일지도 모른다.
수많은 관련 포스팅을 봤지만, 실제 제작도구를 분석한 포스팅은 보지 못한 관계로 해당 공격 도구를 "Gong Da EK"라고 부르는건 '가제'가 아닌가 싶다.
Dadong, gnodad, gondad 모두 명확히 Gongda라고 부르기가 애매모한 이유는 다음과 같다.
- vbscript 역순 난독화에서 사용되는 split 변수명이 gnodad.
- ck vip, jsck vip, 공다팩, kaixin 등 난독화를 풀면 사용되는 자바 취약점 class명과 변수명들이 gondad로 유사함.
(유사하기 보단 POC코드에서 악성코드 실행부분를 변수로 받도록 설계함.) - 악성코드 위치만 재설정함으로써 재사용성을 높이는 형태들로 만들어져 있음.
(그래서 다양한 공격도구에서 동일한 취약점 코드를 볼 수 있음.)
추가. 설마 쟤네 다 같은 도구에서 나온게 아냐? 라고 생각 할 수도 있지만 CK공격툴이 웹 어플리케이션으로 제공되고 있는 스크린샷을 봐서..
뿌리가 같다면 뿌리를 캐야 속이 시원해질듯. 아니면, 누가 캐놓은것도 감사한데.
일단 그 뿌리를 발견 못한건 검색실력이 부족하거나. 공격코드 생성 방법이 웹 기반 유료 서비스에 사용자 인증까지 거쳐야지만 가능하거나. 공격자가 한명 혹은 팀이고, 중국의 도메스틱 툴이거나.
그래도 콘타지오의 밀라누나도 'Gong Da EK'로 통용해서 쓰니 걍쓰자.
Reference
[1] : CK와 VIP에 대한 정보 (http://www.cysecta.com/2013/06/12/ck-vip-cookies-and-botnets/)
[2] : Mila's Contagio의 Overview of exploit packs (http://contagiodump.blogspot.kr/2010/06/overview-of-exploit-packs-update.html)
반응형
'Information Security > Malware' 카테고리의 다른 글
| Analysis Tool - Structured Storage Viewer(SSView) (0) | 2013.09.15 |
|---|---|
| VBscript를 이용하여 역순코드로 만든 난독화 알고리즘 (0) | 2013.08.30 |
| php obfuscation (0) | 2013.08.10 |
| Dehydrating a string Technique (1) | 2013.07.26 |
| Deobfuscation 사이트 (0) | 2013.07.11 |
