Upload
gangseok-lee
View
973
Download
5
Embed Size (px)
Citation preview
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
What the f**k JS Obfuscation Choi Woo-Seok
www.CodeEngn.com2014 CodeEngn Conference 11
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Intro• 이름����������� ������������������ : 최우석 • 소속����������� ������������������ : ㈜����������� ������������������ 한국정보보호교육센터
F-NGS 부설연구소����������� ������������������ 선임연구원 • 취미����������� ������������������ : 문화생활 • 특기����������� ������������������ : 편법, 우회 • 연구활동����������� ������������������ : DBD, OpenSource • Blog : www.hakawati.co.kr • Facebook : FB/hakawati2 • Email : [email protected] • Community : 보안프로젝트
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
94, NETSCAPE 0.x
1990 2012
Low
High
96, IE 3, VBScript, JavaScript, CSS, Java
98, IE 5 Ruby, XML/XSL97, IE 4, HTML, CSS
01, IE 6 Vulnerability Patches
11, IE 9, CSS3, HTML5
95, IE 1, MS 인수, IE 2
95, Opera 1.0
02, Firebird 0.1
04, Firefox 1.0
03, Safari 1
07, Netscape 종료
08, Chrome 0.2
92, Mosaic
06, IE 7 PNG, Phishing filter
09, IE 8 CSS2.1
96, IE 3, VBScript, JavaScript, CSS, Java
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Code Engn
All code in the word
Breaking the Code
The engine = Your brain
All����������� ������������������ code����������� ������������������ in����������� ������������������ the����������� ������������������ word
Breaking����������� ������������������ the����������� ������������������ Code
The����������� ������������������ engine����������� ������������������ =����������� ������������������ Your����������� ������������������ brain
Color, Font, Bold, Position …
Document
Text, Image…
HTML
CSS
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Javascript
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Networking
Rendering Engine
Display(UI) Backend
ActiveX Control
Java Applet
JavaScript Engine
Layout Engine
XML Parser
Image
CSS Parser
HTML Parser
Browser Engine Data Persistence
User Interface
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Networking
Rendering Engine
Display(UI) Backend
ActiveX Control
Java Applet
JavaScript Engine
Layout Engine
XML Parser
Image
CSS Parser
HTML Parser eval, unescape, …
Browser Engine Data Persistence
User Interface
document.write, document.writeln
….
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
난독화가����������� ������������������ 뭐냐?
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
왜����������� ������������������ 사용하나?
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
소스코드 보호 보안 장비 우회
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
단순����������� ������������������ 웹����������� ������������������ 사이트����������� ������������������ 방문만으로����������� ������������������ 악성코드에����������� ������������������ 노출����������� ������������������
드라이브-바이����������� ������������������ 다운로드����������� ������������������ 공격
일반적으로����������� ������������������ 웹����������� ������������������ 페이지에서����������� ������������������ 악의적인����������� ������������������ 목적에����������� ������������������ 의해����������� ������������������ 사용자에게����������� ������������������ 메시지를����������� ������������������ 표시하지����������� ������������������ 않고����������� ������������������ 스크립트(Script)����������� ������������������ 등의����������� ������������������ 계기로����������� ������������������ 악의적인����������� ������������������ 소프트웨어(Malware)를����������� ������������������ 다운로드하고����������� ������������������ 실행하는����������� ������������������ 것
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
뉴스파일공유
블로그 검색
Hopping Pages
…
경유지(Landing Pages)
중계지(Hopping Pages)
…
Exploit Pages
Malware Repository
유포지(Distribution Pages)
난독화 대상 영역
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Hopping Pages
Exploit Pages
Malware Repository
뉴스파일공유
블로그 검색
경유지(Landing Pages)
… Landing Pages
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
사실 이분이 ‘박보안 양’
사이트����������� ������������������ 관리자인����������� ������������������ 박보안����������� ������������������ 양은����������� ������������������ KISA로부터����������� ������������������ 웹사이트에서����������� ������������������ 악성코드가����������� ������������������ 배포되고����������� ������������������ 있다는����������� ������������������ 연락을����������� ������������������ 받았습니다.����������� ������������������ 사이트에����������� ������������������ 접속한����������� ������������������ 결과,����������� ������������������ 이상����������� ������������������ 징후가����������� ������������������ 발견되어����������� ������������������ 급하게����������� ������������������ 패킷을����������� ������������������ 캡쳐하였습니다.����������� ������������������ 박보안����������� ������������������ 양이����������� ������������������ 수집한����������� ������������������ 패킷을����������� ������������������ 분석하여����������� ������������������ 악성코드의����������� ������������������ 감염����������� ������������������ 과정을����������� ������������������ 파악해보세요.����������� ������������������
productsearch.php
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
난독화����������� ������������������ 종류
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
뉴스파일공유
블로그 검색
Hopping Pages
…
경유지(Landing Pages)
중계지(Hopping Pages)
…
Exploit Pages
Malware Repository
유포지(Distribution Pages)
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
16진수����������� ������������������ 난독화
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Dean����������� ������������������ Edward’s����������� ������������������ /Packer/����������� ������������������ Algorithm
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Yosuke����������� ������������������ HASEGAWA’s����������� ������������������ jjencode
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Dehydrating����������� ������������������ a����������� ������������������ string����������� ������������������ Technique
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
뉴스파일공유
블로그 검색
Hopping Pages
…
경유지(Landing Pages)
중계지(Hopping Pages)
…
Exploit Pages
Malware Repository
유포지(Distribution Pages)
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Gondad����������� ������������������ EK
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
CK����������� ������������������ VIP����������� ������������������ &����������� ������������������ JS����������� ������������������ NB����������� ������������������ VIP����������� ������������������ &����������� ������������������ Caihong
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
Sweet����������� ������������������ Orange����������� ������������������ EK
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
RIG����������� ������������������ EK
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
난독화����������� ������������������ 해제����������� ������������������ 방법
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
alert();
eval(); unescape(); result
document.write(); document.writeln();
소스코드����������� ������������������ 수정����������� ������������������ -1
Execute
InsertReplace
document.write(); +����������� ������������������ <xmp>
Webkit����������� ������������������ in����������� ������������������ Browsers
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
소스코드����������� ������������������ 수정����������� ������������������ -2
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
도구를����������� ������������������ 이용한����������� ������������������ 난독화����������� ������������������ 해제����������� ������������������ -1
Parser
Replace
Execute
Deobfuscation
JavaScript Engine
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
도구를����������� ������������������ 이용한����������� ������������������ 난독화����������� ������������������ 해제����������� ������������������ -2
Malzilla Jsunpack-n JSDetox
Deobfuscator SpiderMonkey revelo
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
도구를����������� ������������������ 이용한����������� ������������������ 난독화����������� ������������������ 해제����������� ������������������ -3
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
프로그래밍����������� ������������������ -1
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
프로그래밍����������� ������������������ -2
CodeEngn Conference 2014
http://www.hakawati.co.kr/
File Edit View History Bookmark Window Help
Search
㈜ 한국정보보호교육센터 FNGS 부설연구소
www.CodeEngn.com2014 CodeEngn Conference 11