본문 바로가기

어느 한 분야를 전문적으로 연구함. 또는 그 분야./정보를 여러가지 위협으로부터 보호

Deformed of Gondad Exploit Obfuscation

1. About

Gondad Exploit Toolkit이라는 중국에서 만들어진 툴킷이 있다. 여러 툴킷에 대한 정보가 모이면 포스팅한 곳의 내용을 지속적으로 수정 하니 일단은 이곳(click)을 참조하면 된다. 이 Gondad 툴킷은 여러 유형의 취약점을 이용한 공격코드들을 모아서 난독화(Obfuscation)을 하는 기능이 있다. 이를 Obfuscation Exploit Pack Code라고 말할 수 있다. 난독화를 해제하여 가독성 있는 코드를 보면, 다양한 변수들에 사용되는 명칭이 'Gondad' 혹은 'Dadong'을 사용하기에 붙여진 이름이다. 발음상 가장 가까운 단어 중에 다음과 같은 중국 단어가 있다.


[그림 1 네이버 백과사전]


일반적으로 난독화를 한 후 필수적으로 들어가는 /*Encrypt By <Site name>'s JSXX 0.44 VIP*/ 의 문장이 있다.


[그림 2 일반적인 공다팩 코드]


이 문장이 나타내는 것은 난독화(Obfuscation)을 한 툴킷의 버전, 그리고 악성코드 유포지 사이트에 대한 정보를 가지고 있어 공다팩의 트레이드 마크라고 봐도 무관한 부분이었다. 하지만 최근에는 고정적인 이 문자열을 이용하여 패턴탐지를 이용하려고 하니 응용하여 변형된 코드들이 보이기 시작한다.


[그림 3 패턴탐지 우회를 위한 공다팩 코드]


위의 사진과 같이 고정적으로 들어가는 문자열 대신 ip주소와 포트넘버가 있는 경우가 있다.


[그림 4 한번 더 난독화 한 공다팩 코드]


또한 위와 같이 완성된 난독화를 한번더 꼬아버리는 형태도 발견되고 있다. 위의 난독화는 <script language=vbscript>를 사용한 것으로 보았을 때, ie에서만 실행 되는 것으로 추측할 수 있다.


그외 다양한 패턴탐지를 우회하기 위한 방법들이 보여지고 있으며, 이를 활용한 다음 난독화 버전이 나올 것으로 추측된다.

  • 나그네 2013.01.22 17:12 신고 댓글주소 수정/삭제 댓글쓰기

    다양한 방법으로 변종이 생겼내요.
    역시 창과 방패의 싸움인 것 같습니다.
    좋은 정보 감사합니다.

    • 아무리 발전하고 연구해도 끝이 없는 싸움이기에 완벽한 보안 솔루션이란 없는 것 같습니다. 보안의 중요함을 보여주는 부분으로 생각됩니다.^^
      감사합니다.


티스토리 툴바