1. About
Gondad Exploit Toolkit이라는 중국에서 만들어진 툴킷이 있다. 여러 툴킷에 대한 정보가 모이면 포스팅한 곳의 내용을 지속적으로 수정 하니 일단은 이곳(click)을 참조하면 된다. 이 Gondad 툴킷은 여러 유형의 취약점을 이용한 공격코드들을 모아서 난독화(Obfuscation)을 하는 기능이 있다. 이를 Obfuscation Exploit Pack Code라고 말할 수 있다. 난독화를 해제하여 가독성 있는 코드를 보면, 다양한 변수들에 사용되는 명칭이 'Gondad' 혹은 'Dadong'을 사용하기에 붙여진 이름이다. 발음상 가장 가까운 단어 중에 다음과 같은 중국 단어가 있다.
[그림 1 네이버 백과사전]
일반적으로 난독화를 한 후 필수적으로 들어가는 /*Encrypt By <Site name>'s JSXX 0.44 VIP*/ 의 문장이 있다.
[그림 2 일반적인 공다팩 코드]
이 문장이 나타내는 것은 난독화(Obfuscation)을 한 툴킷의 버전, 그리고 악성코드 유포지 사이트에 대한 정보를 가지고 있어 공다팩의 트레이드 마크라고 봐도 무관한 부분이었다. 하지만 최근에는 고정적인 이 문자열을 이용하여 패턴탐지를 이용하려고 하니 응용하여 변형된 코드들이 보이기 시작한다.
[그림 3 패턴탐지 우회를 위한 공다팩 코드]
위의 사진과 같이 고정적으로 들어가는 문자열 대신 ip주소와 포트넘버가 있는 경우가 있다.
[그림 4 한번 더 난독화 한 공다팩 코드]
또한 위와 같이 완성된 난독화를 한번더 꼬아버리는 형태도 발견되고 있다. 위의 난독화는 <script language=vbscript>를 사용한 것으로 보았을 때, ie에서만 실행 되는 것으로 추측할 수 있다.
그외 다양한 패턴탐지를 우회하기 위한 방법들이 보여지고 있으며, 이를 활용한 다음 난독화 버전이 나올 것으로 추측된다.
'Information Security > Malware' 카테고리의 다른 글
| Javascript Compressor (0) | 2013.02.07 |
|---|---|
| Redkit Exploit Tool : Redkit Landing Page에 관한 정보 (10) | 2013.02.03 |
| Making Generate Yara rules (1) | 2013.01.18 |
| Exploit ToolKit (0) | 2012.08.27 |
| Exploit Reference Website (0) | 2012.07.16 |
