const-string v1, "BLOG.SMISHING.KR"

네이버를 사칭한 계정정보 탈취사이트 분석 본문

Analysis Report

네이버를 사칭한 계정정보 탈취사이트 분석

bunseokbot 2014.08.13 22:58

네이버 사칭하는 파밍 사이트를 분석 해보았습니다.

발견 일자는 2014년 8월 13일(화) 입니다.



실제 사이트와 똑같..은 무슨 ㅋ

약간 다른게 있네요..


코드 분석 ㄱㄱ


ㅋㅋ..


분석해 보니 중국의 특정 서버로 카운트 시키게끔 전송하네요

(전에 파밍 사이트에서 주로 많이 사용되던 사이트이네요. 역시 ㅋㅋ)


실제로 그래서 작동하는지 더미값 넣어봤습니다.

aaaa/aaaa


네? 넴?

로그인은 안되고 이상한 기사만..?


그래서 한번 감시를 해 봤습니다.



유저 아이디에 이상한 값과 패스워드를 특정 서버에 전송시킵니다. (그것도 평문으로 ㅡㅡ;)


Response Header를 보..러 가..보니

Microsoft IIS 서버를 사용하고 있고, PHP 버전 5.1 이네요 ㅋㅋ


... 이걸 통해서 여러분의 네이버 블로그를 taltal 털어간다고 합니다 :(

일단 지금 별로 시간이랑 여유가 없어서 간단하게 분석했는데 좀 자세히 분석해 봐야겠슴다 휴


=============자세한 스크립트 분석=============

<script>
function y_gVal(iz)
{
    var endstr=document.cookie.indexOf(";",iz);
    if(endstr==-1)
        endstr=document.cookie.length;
    return document.cookie.substring(iz,endstr);
}
function y_g(name)
    var arg=name+"=";
    var alen=arg.length;
    var clen=document.cookie.length;
    var i=0;
    var j;
   
    while(i<clen)
    {
        j=i+alen;
        if(document.cookie.substring(i,j)==arg)
            return y_gVal(j);
        i=document.cookie.indexOf(" ",i)+1;
        if(i==0)
            break;
    }
   
    return null;
}
function cc_k()
{
    var y_e=new Date();
    var y_t=93312000;
    var yesvisitor=1000*36000;
    var yesctime=y_e.getTime();
    y_e.setTime(y_e.getTime()+y_t);
    var yesiz=document.cookie.indexOf("cck_lasttime");
   
    if(yesiz==-1)
    {
        document.cookie="cck_lasttime="+yesctime+"; expires=" + y_e.toGMTString() +  "; path=/";document.cookie="cck_count=0; expires=" + y_e.toGMTString() +  "; path=/";
        return 0;
    } else {
        var y_c1=y_g("cck_lasttime");
        var y_c2=y_g("cck_count");
        y_c1=parseInt(y_c1);
        y_c2=parseInt(y_c2);
        y_c3=yesctime-y_c1;
       
        if(y_c3>yesvisitor)
        {
            y_c2=y_c2+1;
            document.cookie="cck_lasttime="+yesctime+"; expires="+y_e.toGMTString()+"; path=/";document.cookie="cck_count="+y_c2+"; expires="+y_e.toGMTString()+"; path=/";
        }
       
        return y_c2;
    }
}
var yesdata;
yesdata='&refe='+escape(document.referrer)+'&location='+escape(document.location)+'&color='+screen.colorDepth+'x&resolution='+screen.width+'x'+screen.height+'&returning='+cc_k()+'&language='+navigator.systemLanguage+'&ua='+escape(navigator.userAgent);
document.write('<a href="http://countt.51yes.com/index.aspx?id=59230596" target=_blank><img width=0 height=0 border=0 hspace=0 vspace=0 src="http://count5.51yes.com/count1.gif" alt="51YES网站统计系统"></a>');
document.write('<iframe MARGINWIDTH=0 MARGINHEIGHT=0 HSPACE=0 VSPACE=0 FRAMEBORDER=0 SCROLLING=no src=http://count5.51yes.com/sa.htm?id=59230596'+yesdata+' height=0 width=0></iframe>');
</script>


1. Referer, Location, screen 정보, System Language, User-Agent 등을 검사해서 yesdata 라는 변수에 저장

2. 그리고 쿠키 값으로 특정 사이트에서 정보를 불러와서 그 값을 변수와 같이 저장해서 전.송

3. 여러분의 개인정보가 taltal 털립니다.

=========================================


(인코그니토 발표준비랑 과제.. 자소서 흐규흐규)

2 Comments
댓글쓰기 폼