새로운 URL 암호화 방법

최근 악성코드 중 아래와 같은 페이지에 접속하여 특정 명령을 받아 실행하는 악성코드를 확인하였습니다.

hxxp://211.255.23.46/counter/update.txt

위 주소에 접속하면 아래와 같이 숫자만 나타나게 됩니다.

049058104116116112058047047049050049046050053052046049054053046049048053047105099111110115047107114046101120101

관련 악성코드를 분석해본 결과 예전에는 단순히 주소 혹은 XOR로 암호화 하였으나 이번엔 좀 새로운 패턴으로 한것을 확인하였습니다.

복호화는 아래 페이지에서 가능하도록 기능을 추가 하였습니다.
http://119.194.217.188:8080/Honeypot/

‘new’ 텍스트 박에서 해당 값을 입력하면 아래와 같은 디코딩된 결과가 나타납니다.

1:http://121.254.165.105/icons/kr.exe

끝으로 도움을 준 forc1 형에게 감사를 🙂

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다