Transcript 난독화

스크립트형 악성코드 난
독화 실무
여러가지 인코딩 – 이글루 시큐리티 김태근
JavaScript(1-1) – 대입형 난독화
-
단순히 변수에 문자열을 대입하여 실행하는 형태로 보안장비의 패턴
매칭을 피하기 위해 사용된다.
JavaScript(1-2) – 대입형 난독화
-
단순 대입형에 간단한 헥스 인코딩을 결합한 형태.
JavaScript(2) – 대입형과 쉘코드가 복합인 형태(1)
-
Script가 악성코드 안에 박혀있는 형식으로 주로 <script>문으로 악성코
드 페이지와 연결하여서 또 다른 악성코드를 실행하는 형태
-
Script문을 이용하여 shell 코드를 삽입하여둔 형태
JavaScript(2) – 대입형과 쉘코드가 복합인 형태(2)
-
약간씩 차이는 나지만 결국은 비슷한 코드로 마무리가 된다
Dadong Encrypt
-
Dadong 난독화 스크립트는 중국에서 만든 것으로 거꾸로하면 gondad
로서 중국어로 ‘공격’을 뜻한다.