분석해보까? 2009.12.17 10:38



이 파일은 Adobe Acrobat Reader의 0-day로써 이메일로 전파 되고 있다.
악성파일의 크기는 현재 발견 된 것은 모두 400,918 바이트 크기를 가지고 있다.
상세분석을 하기에는 너무 시간이 걸릴 듯 하여 ㅠ_ㅠ, 간략하게 요약한다.

우선 E-Mail로 전파 된 악성 PDF 파일을 살펴 보면 다음과 같은 스크립트가 존재한다.
어떤 취약점 Exploit이라도 힌트는 항상 존재한다는 것을 명심해야 한다.
(그림1, PDF 파일 안에 존재 하는 스크립트 화면)

다음은 그림1의 스크립트를 복호화 한 내용이다.
이때까지만 해도 이 쉘코드에 다운로드 주소가 있을것으로 추정하고 있었다(ㅠ_ㅠ)
하지만, 해당 쉘코드는 PDF안에 있는 PE파일을 특정위치로 드롭시키는 코드와, 오버플로우를 발생시키는 코드였다.
(그림2, 스크립트 복호화 작업을 마친 화면)

다시 PDF를 살펴 보면 자기자신에 Offset 0x00037761부터 PE파일(172,032 바이트)를 담고 있는 것을 확인 할 수 있다.
(그림3, PDF 파일에 PE파일을 담고 있는 화면)

PE파일은 차후 C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe에 설치 되는 파일이다.
아직 파일에 대한 분석이 완료 되지 않았기 때문에 생략 ㅎㅎㅎ

- 생성 되는 파일
C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe(172,032 바이트)
C:\Documents and Settings\XP\Local Settings\Temp\DelUS.bat
C:\WINDOWS\winver32.exe(386,016 바이트)

- 다운로드 주소
http://foruminspace.com/documents/dprk/ab.exe(현재 파일 없음) - 다운 후 winver32.exe로 변환

posted by 처리 

댓글을 달아 주세요

  1.  Addr  Edit/Del  Reply

    비밀댓글입니다

    2010.01.09 16:36
  2.  Addr  Edit/Del  Reply Favicon of http://kjcc2.tistory.com BlogIcon 처리 

    질문1) 그림1번에 나온 핵사값을 포함 한 코드가 악성코드 파일안에 들어있나요?
    답변1) 넵, PDF안에 들어가 있습니다. PDF를 Ultra로 오픈하면 확인할 수 있으며, 그렇지 않을때에는 inflater같은 프로그램을 사용하면 PDF안에 들어가 있는 스트림을 따로 추출 할 수 있습니다.

    질문2) 그림2는 그림1의 내용을 복호화 한 내용인데, 복호화한다는것은 무슨 의미인가요? 또한 방법은?
    답변2) 복호화를 간략히 설명하자면, 암호화 된 코드를 일정한 규칙에 따라 풀어 놓은것을 뜻합니다.
    복호화의 방법은 http://kjcc2.tistory.com/128 를 참조해보세요^^ 동일한것은 아니지만 도움은 되실 듯 합니다.

    2010.01.12 14:04 신고
  3.  Addr  Edit/Del  Reply Favicon of http://jshhj.tistory.com BlogIcon 장황제

    안녕하세요.
    좋은 자료 올려주셔서 열심히 보면서 공부하고 있습니다~
    제가 파일안에 있는 실행파일로 들어가있는 악성코드까지 어떻게 돌아가는지에 대한 분석은 해봤습니다.
    근데..pdf파일의 취약점 분석법을 잘 몰라서 질문 드립니다;;
    pdf파일안에 자바스크립트가 있어서 이걸 추출을 해야하는데 추출하는법을 몰라서 질문드립니다.
    하는방법좀 알려주세요~
    윗질문에 울트라로 열면 확인할수 있다고 하셨는데..초보라 잘 모르겠네요;;압축이 되있다고는 봤는데..휴;;

    2010.02.19 21:50 신고