[코드엔진] malware02

코드엔진 사이트에 들어가 malware02 문제를 다운로드 받고 압축을 푼다(비밀번호 : codeengn)

 

 

코드를 열어보면 Malware1번 문제처럼 코드가 주욱 나온다.

 

분석 ㄱ

 

처음 body[] 부분에 xml 버전이 나와있고 알만한 문자열중에 DAV 라는게 눈에 띈다.

 

잘은 몰라서 구글링을 해보니 WebDav 라는 내용이 많이 나온다.

 

WebDav를 구글링해 보자.

 

텀즈에 아래와 같이 설명되어있다.

WebDAV[웹답]은 웹상의 공동 저작활동을 지원하기 위한 IETF 표준으로서, 멀리 떨어져 있는 사용자들 간에 인터넷을 통해 파일을 공동 편집하고 관리할 수 있도록 해주는 일련의 HTTP 확장이다. WebDAV은 원격 그룹들 간에 새로운 방식으로 공동 작업을 가능하게 함으로써, 가상 기업의 개발 효과를 가질 것으로 기대된다. 예를 들면, 비즈니스 계획을 개발하고, 소프트웨어를 창작하거나 정보를 생산하기 위해 가상 조직들이 WebDAV에 해당하는 여러 도구들을 사용할 수 있을 것이다. WebDAV 작업그룹은 W3C 응용 부문의 일부로서, 이 그룹의 설립 취지는 "사용자 요구를 지원하는 동시에 광범위한 공동 이용이 가능한 분산 웹 저작도구를 가능케 하는 HTTP 확장판을 정의하기 위한 목적을 가지고 있다"고 한다. WebDAV은 HTTP가 기본적으로 가지고 있는 읽기 속성에다가 쓰기 속성을 추가함으로써, 웹을 통한 공동 저작에 대한 초기 예상치를 충족시킬 것으로 기대되고 있다. WebDAV은 기업의 인트라넷 상에서 하는 것과 동일한 방식으로, 사용자들이 웹 상에서 공동 작업을 할 수 있도록 해줄 것이다. WebDAV의 특질에는 다음과 같은 것들이 있다. 흔히 동시성 제어라고 불리는 파일 잠금 기능 : 파일에 내용이 겹치기로 쓰여지는 것을 예방한다. 메타데이터 상의 저장 및 검색 연산을 촉진하기 위한 XML 속성 : 다른 데이터에 관한 데이터가 조직화 될 수 있도록 해 준다. DAV 프로토콜 : 속성의 설정, 삭제 및 검색을 가능하게 해준다. DASL 프로토콜 : 웹상의 자원을 찾을 때 속성 값에 기반 하여 검색할 수 있게 해준다. 이름공간 처리 : 복사 및 이동 연산을 지원한다. 파일 시스템 디렉토리와 비슷한 콜렉션이 만들어지고 목록화될 수 있다.

 

설명을 읽어보면 어떤 취약점을 이용해 무엇을 공격하려 할지 대충 감이 잡힌다.

 

나머지 코드를 살펴보자.

 

 

코드를 보면 해당 IP주소의 80번 포트를 스캔하고,

스캔이 성공했다면 해당 주소를 인자로 Exploit함수를 호출하는 것 같다.

 

 

쉘코드를 원하는 형태로 수정하는 과정인 듯 하다. 

하지만 쉘코드에 대한 정보가 없기 때문에 더 이상의 분석이 힘들다.

 

결론적으로 이번 코드는 맨 윗부분만 보고도 추론이 가능하고

공격대상은 WebDAV 이다.