CVE-2011-2110 – ByJJoon's Lab

암호화 된 PE 파일 디코딩 및 CVE-2011-2110 취약점 관련 URL 분석 페이지

최근 웹사이트에서 전파되는 악성코드 중 대부분이 Adobe Flash Player 취약점 (CVE-2011-2110) 을 이용합니다.대부분 "main.swf?info=인자" 형태로 구성되어 있는데 이때 인자를 디코딩 해주는 페이지를 기존 암호화된 PE 파일을 복호화 해주는 페이지에 추가하였습니다. 왼쪽 XOR DECODER 링크에서 확인하실 수 있으며 기능은 아래와 같습니다. 1) 암호화된 PE 파일 복호화 루틴Stage 1 – ADD&XOR, XOR 로 PE 파일이 암호화 된 …

Malware

zlib으로 압축된 URL 확인하는 코드 (CVE-2011-2110 관련)

최근 CVE-2011-2110 취약점을 이용하여 악성코드를 유포하는 내용을 살펴보면 악성코드를 다운로드 받는 URL이 이전과는 조금 다르게 암호화 되어 있다. XOR은 기본이며, XOR 후 zlib으로 압축되어 있는데 해당 URL을 찾기 편하게 간단하게 스크립트로 짜보았다. #!/usr/bin/env python # -*- coding: utf-8 -*- import zlib, operator, sys, os # info 변수 인자값에서 URL XOR zlib 키 찾는 함수 def …