CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

What the f**k JS Obfuscation Choi Woo-Seok

www.CodeEngn.com2014 CodeEngn Conference 11

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Intro• 이름����������� ������������������  : 최우석 • 소속����������� ������������������  : ㈜����������� ������������������  한국정보보호교육센터

F-NGS 부설연구소����������� ������������������  선임연구원 • 취미����������� ������������������  : 문화생활 • 특기����������� ������������������  : 편법, 우회 • 연구활동����������� ������������������  : DBD, OpenSource • Blog : www.hakawati.co.kr • Facebook : FB/hakawati2 • Email : hakawati@naver.com • Community : 보안프로젝트

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

94, NETSCAPE 0.x

1990 2012

Low

High

96, IE 3, VBScript, JavaScript, CSS, Java

98, IE 5 Ruby, XML/XSL97, IE 4, HTML, CSS

01, IE 6 Vulnerability Patches

11, IE 9, CSS3, HTML5

95, IE 1, MS 인수, IE 2

95, Opera 1.0

02, Firebird 0.1

04, Firefox 1.0

03, Safari 1

07, Netscape 종료

08, Chrome 0.2

92, Mosaic

06, IE 7 PNG, Phishing filter

09, IE 8 CSS2.1

96, IE 3, VBScript, JavaScript, CSS, Java

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Code Engn

All code in the word

Breaking the Code

The engine = Your brain

All����������� ������������������  code����������� ������������������  in����������� ������������������  the����������� ������������������  word

Breaking����������� ������������������  the����������� ������������������  Code

The����������� ������������������  engine����������� ������������������  =����������� ������������������  Your����������� ������������������  brain

Color, Font, Bold, Position …

Document

Text, Image…

HTML

CSS

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Javascript

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Networking

Rendering Engine

Display(UI) Backend

ActiveX Control

Java Applet

JavaScript Engine

Layout Engine

XML Parser

Image

CSS Parser

HTML Parser

Browser Engine Data Persistence

User Interface

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Networking

Rendering Engine

Display(UI) Backend

ActiveX Control

Java Applet

JavaScript Engine

Layout Engine

XML Parser

Image

CSS Parser

HTML Parser eval, unescape, …

Browser Engine Data Persistence

User Interface

document.write, document.writeln

….

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

난독화가����������� ������������������  뭐냐?

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

왜����������� ������������������  사용하나?

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

소스코드 보호 보안 장비 우회

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

단순����������� ������������������  웹����������� ������������������  사이트����������� ������������������  방문만으로����������� ������������������  악성코드에����������� ������������������  노출����������� ������������������  

드라이브-바이����������� ������������������  다운로드����������� ������������������  공격

일반적으로����������� ������������������  웹����������� ������������������  페이지에서����������� ������������������  악의적인����������� ������������������  목적에����������� ������������������  의해����������� ������������������  사용자에게����������� ������������������  메시지를����������� ������������������  표시하지����������� ������������������  않고����������� ������������������  스크립트(Script)����������� ������������������  등의����������� ������������������  계기로����������� ������������������  악의적인����������� ������������������  소프트웨어(Malware)를����������� ������������������  다운로드하고����������� ������������������  실행하는����������� ������������������  것

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

뉴스파일공유

블로그 검색

Hopping Pages

…

경유지(Landing Pages)

중계지(Hopping Pages)

…

Exploit Pages

Malware Repository

유포지(Distribution Pages)

난독화 대상 영역

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Hopping Pages

Exploit Pages

Malware Repository

뉴스파일공유

블로그 검색

경유지(Landing Pages)

… Landing Pages

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

사실 이분이 ‘박보안 양’

사이트����������� ������������������  관리자인����������� ������������������  박보안����������� ������������������  양은����������� ������������������  KISA로부터����������� ������������������  웹사이트에서����������� ������������������  악성코드가����������� ������������������  배포되고����������� ������������������  있다는����������� ������������������  연락을����������� ������������������  받았습니다.����������� ������������������  사이트에����������� ������������������  접속한����������� ������������������  결과,����������� ������������������  이상����������� ������������������  징후가����������� ������������������  발견되어����������� ������������������  급하게����������� ������������������  패킷을����������� ������������������  캡쳐하였습니다.����������� ������������������  박보안����������� ������������������  양이����������� ������������������  수집한����������� ������������������  패킷을����������� ������������������  분석하여����������� ������������������  악성코드의����������� ������������������  감염����������� ������������������  과정을����������� ������������������  파악해보세요.����������� ������������������  

productsearch.php

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

난독화����������� ������������������  종류

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

뉴스파일공유

블로그 검색

Hopping Pages

…

경유지(Landing Pages)

중계지(Hopping Pages)

…

Exploit Pages

Malware Repository

유포지(Distribution Pages)

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

16진수����������� ������������������  난독화

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Dean����������� ������������������  Edward’s����������� ������������������  /Packer/����������� ������������������  Algorithm

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Yosuke����������� ������������������  HASEGAWA’s����������� ������������������  jjencode

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Dehydrating����������� ������������������  a����������� ������������������  string����������� ������������������  Technique

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

뉴스파일공유

블로그 검색

Hopping Pages

…

경유지(Landing Pages)

중계지(Hopping Pages)

…

Exploit Pages

Malware Repository

유포지(Distribution Pages)

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Gondad����������� ������������������  EK

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

CK����������� ������������������  VIP����������� ������������������  &����������� ������������������  JS����������� ������������������  NB����������� ������������������  VIP����������� ������������������  &����������� ������������������  Caihong

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

Sweet����������� ������������������  Orange����������� ������������������  EK

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

RIG����������� ������������������  EK

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

난독화����������� ������������������  해제����������� ������������������  방법

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

alert();

eval(); unescape(); result

document.write(); document.writeln();

소스코드����������� ������������������  수정����������� ������������������  -1

Execute

InsertReplace

document.write(); +����������� ������������������  <xmp>

Webkit����������� ������������������  in����������� ������������������  Browsers

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

소스코드����������� ������������������  수정����������� ������������������  -2

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

도구를����������� ������������������  이용한����������� ������������������  난독화����������� ������������������  해제����������� ������������������  -1

Parser

Replace

Execute

Deobfuscation

JavaScript Engine

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

도구를����������� ������������������  이용한����������� ������������������  난독화����������� ������������������  해제����������� ������������������  -2

Malzilla Jsunpack-n JSDetox

Deobfuscator SpiderMonkey revelo

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

도구를����������� ������������������  이용한����������� ������������������  난독화����������� ������������������  해제����������� ������������������  -3

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

프로그래밍����������� ������������������  -1

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

프로그래밍����������� ������������������  -2

CodeEngn Conference 2014

http://www.hakawati.co.kr/

File Edit View History Bookmark Window Help

Search

㈜ 한국정보보호교육센터 FNGS 부설연구소

www.CodeEngn.com2014 CodeEngn Conference 11