SFX (Self-extracting file) Archive

SFX 아카이브는

자체 압축 풀림, 자동 압축 풀림을 의미하는 것이다. WinRar, WinZip, 알집 같이 압축 프로그램도 있지만

SFX 아카이브는 그냥 압축 해제가 가능하다.

 

윈도우에서는 exe파일 형태로, 실행하면 압축이 풀리게끔 SFX 기능을 지원하고 있다.

 

SFX를 언급한이유는.. 이게 자동 실행 압축 풀림이니까 실행시에 압축이 풀리면서 악성코드가 실행될 수 있다는 점이다.

이 파일을 실행하게 되면  사용자의 동의 없이 폴더를 생성하고 자료파일을 저장하게 되므로. 이 동작이 악의적이라면

이건 뭐 악성코드라고 부르는 거다.

 

그럼 tight VNC의 소스를 일부부 수정한 프로그램을 이용하여 백도어를 한번 만들어보겠다.

tight VNC는 알다시피 ( 철저하게 내 기준ㅋ.. 모르면 검색하셈) 원격 접속 프로그램이다.

이 프로그램에 Reverse connection 기능을 이용할 것이다. 메타스플로잇 페이로드 중 Reverse TCP와 같은 것.

(웬만한 백도어는 다 이런식이지. nc는 아시잖수)

 

리버스 컨넥션을 이용하는 건 알겠다. 근데 여기서 문제는 리버스 컨넥션을 하기위해 

피해자 컴퓨터에 악성파일을 심는게 첫번째다. 이 때 SFX 파일에 백도어 파일을 포함시키겠다 이말!

 

공격 시나리오는 이러하다.

 

1. 공격자는 피해자에게 정상적인 프로그램으로 가장한 SFX 파일을 전달한다.

2. 피해자는 정상 프로그램인줄 알고 실행 시킨다.

3. 실행 시키는 순간 정상적인 프로그램과 백도어가 같이 압축 해제되며, 백도어는 시작프로그램에 등록된다.

4. Reverse Connection 을 이용하므로, 피해자가 누군지 몰라도 공격이 가능하니, 불특정 다수에게 마구마구 뿌린다.

 

참고 도서 : 해킹의 비밀을 푸는 key 15