'Reverse Engineering/예제 문제해결'에 해당되는 글 2건

  1. 2011.06.06 쇼설커머스 접속했더니 왜 laaan.cn이 뜨지 ?! (7)
  2. 2007.08.03 F-Secure Reverse Engineering Challenge Level 1


2011년 6월 6일(화) 새벽 1시쯤 쇼설커머스에 뭔가 올라왔나 싶어 접속했는데 모유명 쇼설커머스 사이트가 너무 지연되더군요. 그래서, 시간도 늦게해서 아침에 일어나서 사이트에 접속했더니 http://www.laaan.cn 사이트가 계속 뜨는 겁니다. 직감적으로 이건 해당 쇼설커머스에 뭔가 일이 생겼다고 느꼈죠.

한번 분석을 진행해 봤습니다.
- 그나저나 네트워크 분석은 잘 안해봐서 많이 지연되었네요. 이걸 전문적으로 하는 사람들은 정말 빨리 찾았을텐데 말이죠.


1. laaan.cn

우선 문제의 laaan.cn 사이트를 검색해 봤습니다.

문의가 꽤 많더군요.
사이트에 가보니 플래쉬 파일 암호화 사이트 같습니다.
(중국어라...)

구글 laaan.cn 검색 결과




2. Wireshark로 패킷을 떴죠.

저는 인터넷을 VMWare에서만 진행하기 때문에 바로 이전 이미지로 리버트하고 패킷을 뜨기 위해 Wireshark를 설치하고 다시 해당 쇼설커머스에 접속해서 패킷을 뜨기로 했습니다.


www.laaan.cn 사이트 주소를 얻어 오는게 보입니다.


3. 접속 순서

사실 처음에 wireshark로만 분석하려 했는데 필터링 명령도 잘 모르고 (흑흑.. 파일 분석가의 비애) 고생 좀 했죠.
그래도 얻어내는  DNS를 보고 사이트 접속 순서를 확인했습니다.



(모쇼설커머스) -> adcounter.emnet.co.kr (통계) -> www.i****.co.kr (음악) -> game***sun (게임) -> 구글, 페이스북, 마이크로소프트 등 -> www.laaan.cn 

우선 구글, 페이스북, 마이크로소프트는 가능성이 낮으므로 다른 사이트부터 보기로 했습니다.
통계 사이트의 경우 로그인이 필요해서 더 이상 확인이 어려웠습니다.


4. 제일 수상한 www.i****.co.kr 사이트 분석  

사이트에 들어가보니 음악 관련 사이트입니다.  쇼설커머스에서 생뚱맞게 음악 사이트로 가는게 이상하죠.
접속하는 주소는 www.i****.co.kr/data/log/footer.html 입니다.

스크립트가 보입니다. (빙고!)

다음 4개 주소로 접속합니다.

- /data/log/naver.html
- 모게임 사이트 /file/fun.htm
- /data/log/flash.html

- 중국 사이트 (광고 조회수 올리기 ?!)


위 주소 중  /data/log/flash.html 에 들어가보니 계속 www.laaan.cn 이 뜹니다.

flash.html을 열어 보면 nb.swf를 다운로드 하는게 보입니다.



value 에 들어가는 90909090 으로 시작되는 코드를 보면 쉘코드(shellcode) 처럼 느껴집니다.

코드를 헥사 값으로 변환해서 디스어셈블해 봅니다.
암호해제 코드 같네요.



다운로드 된 nb.swf 파일을 보면 www.laaan.cn 주소가 보입니다.



나머지 3개 주소는 시간관계상 생략하겠습니다.
일단 뭔가 이상한게 들어가 있는걸 확인했으니까요.


* 결론

아쉽게도.
문제가 된 (해킹된) 사이트가 해당 쇼설커머스인지 연계된 다른 사이트에서 발생한건지는 확인 못했습니다.

오전 11시쯤에 접속해보니 이제 속도 지연 문제도 없고 해결한 걸로 보이더군요.

그리고, 시간 관계상 어떤 의도였는지 끝까지 분석은 못했습니다
(점심 먹고 영화 보러 가야 합니다 ㅋ)

만약 해당 쇼설커머스가 직접 해킹되어 발생한 문제라면 웹사이트 보안에 신경 좀 썼으면 합니다.
이거 불안해서 쇼설커머스 사이트 이용 할 수 있을지..
뭐.. 국내 웹사이트 털리는건 쇼설커머스의 문제는 아니지만요.

ps.

오랫만에 Malzilla 를 사용했는데...
역시 유용합니다.





Posted by mstoned7

댓글을 달아 주세요

  1. 철이 2011.06.06 12:11  댓글주소  수정/삭제  댓글쓰기

    nb.swf v3 진단하나요?

  2. ㅇㅅㅇ 2011.06.06 16:40  댓글주소  수정/삭제  댓글쓰기

    http://game.playwares.com/xe/ 여기도 그러던데 조금만 신경쓰면 막을수 있는데
    자주 들어가는 사이트가 그러니 좀 귀찮네요.

    • mstoned7 2011.06.06 22:09 신고  댓글주소  수정/삭제

      해당 사이트도 시간되면 한번 확인해 보겠습니다. 하지만, 알려줘도 웹관리자들은 근본적인 문제를 해결 안하고 그냥 주소가 지우는 경우가 많죠 -.-;; 법이라도 제정되면 좋겠는데 말이죠.

  3. 하나뿐인지구 2011.06.08 11:00  댓글주소  수정/삭제  댓글쓰기

    민석님 기사 떴네요~
    http://www.asiatoday.co.kr/news/view.asp?seq=488603
    ...
    ps>가상화라 서버os도 보안os라고...있었던 것 같은데...(서울시 창업센터에 있던)
    ...
    어쨌든...기사 잘 봤습니다~ ^^

  4. 카레 2011.06.08 12:30  댓글주소  수정/삭제  댓글쓰기

    왠지 모르게 중국 이상 야릇한 사이트 로 연결해서 부당 요금 청구 할듯한 ..느낌이 들더군요.
    중국 해킹 사이트 도 조금 방문하는데 하는 짓이 러시아 성인 사이트 와 비슷한거 같애요.

F-Secure 리버스엔지니어링 문제 Level 1 의 그냥 따라가면된다.

파일은 아래에서

http://www.f-secure.com/khallenge/e3278641a885fedcdf7ec8bced72b8c1/FSC_Level1.zip

사용자 삽입 이미지

Level 1 암호를 얻어낸 화면


암호는 그냥 abcdef 라고 입력하고 코드를 따라가면 69001088 부터 원래 암호를 저장하는 것을 알 수 있다.

%c 만 보면 8자 임을 알 수 있고 690010BF 가지 따라가 완성된 값은
Asm07REC

이 값을 690010C9 에서 비교함을 알 수 있다.

사용자 삽입 이미지

비밀번호를 입력하면 메일 주소가

Posted by mstoned7

댓글을 달아 주세요