프롤로그
이전에 “HTML Style tag based malicious Iframes”에 대해서 간단하게 언급했었는데 오늘 그 두번째 시간으로 악성코드를 유포할 때 다운로드 되는 악성 PDF에 관한 내용입니다.
* “HTML Style tag based malicious Iframes”: http://core.ahnlab.com/275
PDF 분석
V3에서 PDF/Pdfka로 진단되는 해당 PDF를 살펴보면 아래처럼 /XFA로 묶여진 여러 개의 Object ID들이 존재하며,
/XFA [8 0 R 9 0 R 10 0 R 11 0 R 12 0 R 13 0 R 14 0 R 15 0 R 16 0 R 17 0 R]
실제 PDF의 취약점을 통해서 악성코드를 다운로드 하도록 악성 JS파일을 담고 있는 Object ID는 8 0, 9 0, 10 0, 11 0, 12 0이며 아래 그림으로 표현할 수가 있습니다.


악성 JS의 메인코드는 위 [그림 2]에서 본 것처럼 Object ID 11 0에 존재하며 난독화(Obfuscated)된 자바 스크립트임을 알 수가 있습니다. 여기서 파란색 Bold체로 표시된 변수들이 가진 의미를 정리해 보면 아래와 같습니다.
1. TunOkoxamezb: evalString.fromCharCode
2. VolaaGiqina: eval
3. DbolaNarolybi: function fromCharCode() {[native code]}
4. DaqAsdyxk: function DbolaNarolybi를 통해서 난독화 해제된 JS코드를 저장하는 변수
아래 그림은 난독화(Obfuscated)된 자바 스크립트가 난독화 해제되는 과정을 요약한 것입니다.

[그림 3]의 난독화 해제 과정이 완료되면 아래 [그림 4]처럼 난독화 해제된 자바 스크립트 코드가 존재함을 알 수가 있습니다.

위 그림은 난독화 해제된 후 악성 자바 스크립트의 일부 코드인데 2개의 쉘코드와 해당 쉘코드를 Heap Spray해 주는 코드로 구성되어 있고 아래 그림으로 표현할 수 있습니다.

Categories:악성코드 정보