Reverse Engineering/예제 문제해결

쇼설커머스 접속했더니 왜 laaan.cn이 뜨지 ?!

쿨캣7 2011. 6. 6. 11:59
728x90
반응형


2011년 6월 6일(화) 새벽 1시쯤 쇼설커머스에 뭔가 올라왔나 싶어 접속했는데 모유명 쇼설커머스 사이트가 너무 지연되더군요. 그래서, 시간도 늦게해서 아침에 일어나서 사이트에 접속했더니 http://www.laaan.cn 사이트가 계속 뜨는 겁니다. 직감적으로 이건 해당 쇼설커머스에 뭔가 일이 생겼다고 느꼈죠.

한번 분석을 진행해 봤습니다.
- 그나저나 네트워크 분석은 잘 안해봐서 많이 지연되었네요. 이걸 전문적으로 하는 사람들은 정말 빨리 찾았을텐데 말이죠.


1. laaan.cn

우선 문제의 laaan.cn 사이트를 검색해 봤습니다.

문의가 꽤 많더군요.
사이트에 가보니 플래쉬 파일 암호화 사이트 같습니다.
(중국어라...)

구글 laaan.cn 검색 결과




2. Wireshark로 패킷을 떴죠.

저는 인터넷을 VMWare에서만 진행하기 때문에 바로 이전 이미지로 리버트하고 패킷을 뜨기 위해 Wireshark를 설치하고 다시 해당 쇼설커머스에 접속해서 패킷을 뜨기로 했습니다.


www.laaan.cn 사이트 주소를 얻어 오는게 보입니다.


3. 접속 순서

사실 처음에 wireshark로만 분석하려 했는데 필터링 명령도 잘 모르고 (흑흑.. 파일 분석가의 비애) 고생 좀 했죠.
그래도 얻어내는  DNS를 보고 사이트 접속 순서를 확인했습니다.



(모쇼설커머스) -> adcounter.emnet.co.kr (통계) -> www.i****.co.kr (음악) -> game***sun (게임) -> 구글, 페이스북, 마이크로소프트 등 -> www.laaan.cn 

우선 구글, 페이스북, 마이크로소프트는 가능성이 낮으므로 다른 사이트부터 보기로 했습니다.
통계 사이트의 경우 로그인이 필요해서 더 이상 확인이 어려웠습니다.


4. 제일 수상한 www.i****.co.kr 사이트 분석  

사이트에 들어가보니 음악 관련 사이트입니다.  쇼설커머스에서 생뚱맞게 음악 사이트로 가는게 이상하죠.
접속하는 주소는 www.i****.co.kr/data/log/footer.html 입니다.

스크립트가 보입니다. (빙고!)

다음 4개 주소로 접속합니다.

- /data/log/naver.html
- 모게임 사이트 /file/fun.htm
- /data/log/flash.html

- 중국 사이트 (광고 조회수 올리기 ?!)


위 주소 중  /data/log/flash.html 에 들어가보니 계속 www.laaan.cn 이 뜹니다.

flash.html을 열어 보면 nb.swf를 다운로드 하는게 보입니다.



value 에 들어가는 90909090 으로 시작되는 코드를 보면 쉘코드(shellcode) 처럼 느껴집니다.

코드를 헥사 값으로 변환해서 디스어셈블해 봅니다.
암호해제 코드 같네요.



다운로드 된 nb.swf 파일을 보면 www.laaan.cn 주소가 보입니다.



나머지 3개 주소는 시간관계상 생략하겠습니다.
일단 뭔가 이상한게 들어가 있는걸 확인했으니까요.


* 결론

아쉽게도.
문제가 된 (해킹된) 사이트가 해당 쇼설커머스인지 연계된 다른 사이트에서 발생한건지는 확인 못했습니다.

오전 11시쯤에 접속해보니 이제 속도 지연 문제도 없고 해결한 걸로 보이더군요.

그리고, 시간 관계상 어떤 의도였는지 끝까지 분석은 못했습니다
(점심 먹고 영화 보러 가야 합니다 ㅋ)

만약 해당 쇼설커머스가 직접 해킹되어 발생한 문제라면 웹사이트 보안에 신경 좀 썼으면 합니다.
이거 불안해서 쇼설커머스 사이트 이용 할 수 있을지..
뭐.. 국내 웹사이트 털리는건 쇼설커머스의 문제는 아니지만요.

ps.

오랫만에 Malzilla 를 사용했는데...
역시 유용합니다.





728x90
반응형