Ray_Forever

main 웹페이지가 위/변조가 되어서 악성코드 유포를 하고 있었다.

이런 경우는 서버가 털린 경우가 대부분이다.

- hxxp://www.rayforever.com/\ (iframe 삽입)

  └ hxxp://www.rayforever.com/javaexp.htm (java파일과 exe파일 실행되게 coding)

      └ hxxp://www.rayforever.com/apps.jar (java취약점)

           └ hxxp://www.rayforever.com/update.exe (다운로드 되지 않음)

======================================================================================================================================================================

 coding 하단 부에 iframe 삽입으로 인해 서버가 위/변조가 되었음이 확인됨

jar 파일과 외부에서 exe 파일을 다운로드 하려는 시도

자바 파일은 확인결과, java.net.useSystemProxies (Java proxy설정) 을 하고
http.keepalive (httpURLConnection시 자바 에러를 방지) 하고
/taskmgr.exe 실행하는 모습을 확인 할 수 있었다.

======================================================================================================================================================================

exe파일까지 확인하면 어떤 행동을 하려고 했는 지 확인할 수 있겠지만,

자바 파일을 봐서는 아마 외부로 무언가를 유출하려는 시도로 유추된다.

웹페이지 하나 밖엔 없지만.

뭔가 특이한 게 있었다..

#숫자#알파벳 등 으로 이뤄진 툴킷.

그리고 디코딩은 http://malware.dontneedcoffee.com/ 를 참고 하면 된다는 것..

음..

 ============================================================================================================================================================

첫 도입부인데. 여기 맨 위에 선언된. eedandfjrLm이 중요한 거 같다..

중간 쯔음... 훑어보다가. XML 취약점이 눈에 보였다. 이게 아직 통한다는게..

윈도우즈 패치를 꼭 해야 하는데. 안 하는 사람이 있다는 것이다..

 BD96C556-65A3-11D0-983A-00C04FC29E36 -> MS06-014

BD96C556-65A3-11D0-983A-00C04FC29E30 -> CVE2010-1885 등

각종 취약점을 타깃으로 하고 있다..

 여기서 부터 뭔가 좀 특이했다. 다른 툴킷들과 달리. #으로 뭔가 이루어진다는 것.

그리고 핵심은 split & reverse & join 이다.

이게 아니었다면 풀리지 않았던 숙제로 남을 뻔 했을 것이다..

 java network launch protocol = jnlp

공격자가 자바를 이용하여 배포 하고 실행하기 위해 쓰고 있다..

좀 더 공부해봐야겠다..

음음..

디코딩 후에 보니.

클래스 파일을 이용하고, 뭔가 다운로드 받으려는 것으로 판단되는데. 재현은 안되고..

그리고 밑에는 Base64 이니.

확인 해봐야겠다..

자바 버전이 1.7 을 보는 거으로 확인된다.

===================================================================================================================================================

Html 파일 하나 밖에 없지만. 뭔가 간략하게 보기에는 좋았다고 느낀다..

패킷으로 복구해본 것인데. 재미있다..

편의상 위/변조된 곳은 http://rayforever.tistory.com ㅋㅋㅋ

앞으로 많은 접속을 부탁드리며,,

악성코드 유포지는 재현안되서 그냥 공개 ㅋㅋ

=================================================

hxxp://rayforever.tistory.com/\  (이거는 루트라는 뜻)
└ hxxp://rayforever.tistory.com/index.aspx
    └ hxxp://rayforever.tistory.com/AgInstall.js
        └ hxxp://rayforever.tistory.com/jpg.htc
             └ hxxp://198.204.244.50:66/adx.gif (다동 0.44)
                 └ hxxp://198.204.244.50:66/qk.exe
hxxp://rayforever.tistory.com/hidden.html

================================================

 위 그림은 처음 시작을 알리는 부분..

 삽입된 파일을 불러 오는 부분..

맨 하단에 삽입이 된 부분..

파일을 열어서 보면.. 위와 같이 되어있는데.

이걸 멜질라로 붙여넣기로 간단히 디코딩이 가능하다..

이게 바로 adx.gif... 다동이다 -.-;;

and.

================================================================================================================================================================

hxxp://198.204.244.50:66/adx.gif (다동 0.44) 를 디코딩 하면. 아래와 같은데//. 현재 다운이 안된다;;;

hxxp://198.204.244.50:66/DHxT0.jpg (=GondadGondadExp.class)
hxxp://198.204.244.50:66/eTmmau5.jpg (=GondadExx.Ohno.class)
hxxp://198.204.244.50:66/tqjJNwX6.jpg (=gond1723.Gondattack.class)

8AD9C840-044E-11D1-B3E9-00805F499D93 (IE에서 JAVA 웹 플러그인 관련 Object Code)
hxxp://198.204.244.50:66/UAtCnt1.jpg (=cve2012xxxx.Gondvv.class)
hxxp://198.204.244.50:66/adcI5.jpg (=gond20125076.Gondqq.class) => CVE 2012-5076 (=2012년 11월말에 나옴. GenericConstructor)
 - 특정 클래스가 특정 접근 생성자를 통해 초기화 할 수 있는 클래스. 짧은 코딩으로 reflective 코드의 어려운 작성을 피할 수 있음
hxxp://198.204.244.50:66/DmVzkAw5.jpg (=xml20130422.XML20130422.class) => CVE 2013-0422 (=1월에 나온 Java Applet JMX 0day Remote Code Execution 취약점)

hxxp://198.204.244.50:66/BpTTy3.swf (=Adobe Flash)
hxxp://198.204.244.50:66/pXDcVz0.html (=IE ver 6)
hxxp://198.204.244.50:66/DHxT0.html (=IE ver 8)

================================================================================================================================================================

이렇게 이루어져있는데.

하나씩 이어진다는 게 재미있을 뿐이다..

모르고 지나칠 것들이 많아서, 잘 봐야 겠다는 생각을 했다..

이걸 풀면서 느낀 점은 2번 꼬아놓은 것? 그거보단 하나 풀리면 하나 더 있다는 것?

 우선 V3에서 진단하는 icon.js (V3: JS/Agent)를 Decode.

간단하게 할 수 있음...

위에거 붙여넣고 간단하게 또 바꿔서 하면 아래와 같이.. 

하단에 블라인드 처리된 주소로 접속을 하게 되면 어떤 블로거에 게시글과

메타 TAG를 이용해서 5초뒤에 어떤 블로거의 페이지로 이동하는 TAG가 있는 것이 확인되었다.

<meta http-equiv="Refresh" Content="0.5;url=http://xxx.tistory.com/2321">

하지만 그 블로거의 게시글은 없는 것이고;;

계속 해서 블라인드된 소스 코드를 확인 중에

 특정 함수 선언 코드에서악성코드를 유포하는 곳으로 이동되는 것을 확인할 수 있었다.

location.href='http://xxx.net/lemon.htm'

위 파일에 대해서는 추후에 추가적으로 분석하는 게 나을듯하다.ㅋ

 음.. 그냥 단순한 것 같아보임..

document.write -> alert

국내 유명한 소고기 관련한 사이트가 아예 털린듯;;

쓰음;;

친구에게서 받은 MASS SQL 구문..

실질적인 것은 0x 부분 부터 시작..

위에꺼 Decoding 하면... 

성공을 한다면 DB가.. ㅎㄷㄷ

중요한 거는 for문.

그리고 document.write를 방지하기 위한 루틴.

 - 키를 생성해주는 루틴이지.

하단.

키 값을 가지고 디코딩하는 for문, if else문.

근데. 풀면 깨짐..

난 아직 멀은건가...

카후 녀석들 대단하다... ㅎㄷㄷ

jar파일 부분에서 value 부분을 비교 값으로 넣기.

key값 때문에 고생 좀 했네..

누르니.....그럼 나온다 ㅋㅋ

업로드 취약점으로 서버가 아예 털린듯한 인상을 받음...

****.co.kr/zzz/mm/index.html 외 다수의 파일..

조금 짜증이 남.. 왜 디코딩이 안되는거지? 왜 그렇지?

eval 부분을 document.write로 바꾸면 첫번째 디코딩이 됨..

상단에서 아주 간단하게 풀리는 거였음..

이건 변수 선언 같은 느낌??

뭔가 16진수로 바꾸기 위해 코딩하는 느낌을 받았음.

16번 라인에서 자꾸 에러나서 짜증이.. ㅋㅋ

그것도 구문오류가 나서.. 도체 뭐가 빠진 건지.. 이해가 안감..

배열 선언되고... 음... unescape 구문이 있었음..

코딩부분인데 이거는 뭐를 할 요량인지 잘 이해가 안감..

그냥 잘 보니.. case 문을 위해서 넣은 거 같기도 함..

마지막 부분인데..

으흠..

이거 봐도 봐도.. 그냥 위에꺼 이어진 거 넣어진 느낌?

그리고 utf-8.. 네이버가 생각남 ㅋㅋㅋㅋ

정말 재밌는 녀석을 만났다.

공백 디코딩이란 녀석인데.. space와 tab으로 이뤄진 녀석이다.

위 처럼.. 나오지만..

줄바꿈으로 봐야 보이는 녀석이고, 원래는 안 보이게 길게 쭈~욱 보인다.

editplus 기능을 이용하니 space와 tab을 보여주고 있었다.

cookie 값 검증을 해줘서 유포지로는 접근 안되게 한다. 그래서 cookie 값 검증 부를 지우고.

<xmp>구문을 이용해서 보았다. 키 값은 r 과 tmp 인데, r 값은 tmp에 들어가 있는 값을 표현해주는 값이다

r값을 보면 유포지로 가는 URL이 보인다. tmp 값은 space와 tab을 표현해주는 역할을 한다.

그림은 아래에~ ^^;

xmp를 이용한 디코딩.

 watch를 이용해서 보니 URL이 바로 보인다.

 그리고 xmp를 이용해서 tmp 값을 보았는데.

 마찬가지로 Watch를 이용하니 유포지가  보인다. 하지만 십진수로 된 값들이 궁금하니. 디코딩 ㄱㄱ

복사해서 ASCII DEC 란에 붙여넣고 Decode.

그리고 TEXT 란에 있는 값들을 다시 Decode.

 그래서 보니 위와 같이 결과 값이 나왔다.

처음 공백 디코딩을 보았을 때는. 이건 뭐지?

이런 느낌이었다.

근데 막상 해보니. 별거 아닌데?ㅋ

이런 느낌이다.

보이지 않는 코드..

그냥 그럭저럭 재미는 있었다..