[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Similar documents
ActFax 4.31 Local Privilege Escalation Exploit

*2008년1월호진짜

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F >

#WI DNS DDoS 공격악성코드분석

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

신종파밍악성코드분석 Bolaven

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

System Recovery 사용자 매뉴얼

1. Execution sequence 첫번째로 GameGuard 의실행순서는다음과같습니다 오전 10:10:03 Type : Create 오전 10:10:03 Parent ID : 0xA 오전 10:10:03 Pro

Windows 8에서 BioStar 1 설치하기

SBR-100S User Manual

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

API 매뉴얼

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

PowerPoint Template

슬라이드 1

버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

PowerPoint 프레젠테이션

untitled

!K_InDesginCS_NFH

07_alman.hwp

SBR-100S User Manual

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Microsoft Word - windows server 2003 수동설치_non pro support_.doc


1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Android Master Key Vulnerability

JVM 메모리구조

[Brochure] KOR_TunA

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<4D F736F F F696E74202D20B8AEB4AABDBA20BFC0B7F920C3B3B8AEC7CFB1E22E BC8A3C8AF20B8F0B5E55D>

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

제목을 입력하세요

Microsoft Word - FS_ZigBee_Manual_V1.3.docx

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

JAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

PowerPoint 프레젠테이션

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

<35B9DAC1F6BCF62CC0CCBFECC8C62CB7F9B5BFBCAE2E687770>

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

단계

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

PowerPoint 프레젠테이션

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

Mango-E-Toi Board Developer Manual

Adobe Flash 취약점 분석 (CVE )

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx


DLL Injection

helpU 1.0

Microsoft Word - 3부A windows 환경 IVF + visual studio.doc

Microsoft PowerPoint - chap06-2pointer.ppt

Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1

API 매뉴얼

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

Dropbox Forensics

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Red Alert Malware Report

ìœ€íŁ´IP( _0219).xlsx

1

DLL(Dynamic Linked Library)

chap 5: Trees

The Pocket Guide to TCP/IP Sockets: C Version

Malware Analysis

3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

PowerPoint 프레젠테이션

ThinkVantage Fingerprint Software

DBMS & SQL Server Installation Database Laboratory

PowerPoint 프레젠테이션

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

작성자 : 기술지원부 김 삼 수

Microsoft Word - building the win32 shellcode 01.doc

AhnLab_template

Microsoft PowerPoint - additional01.ppt [호환 모드]

Secure Programming Lecture1 : Introduction

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

개요 최근사용자들이인터넷을사용하던중에 CVE (Java), CVE (IE), CVE (Flash), CVE (IE) 취약점을이용한 sweet orange exploit kit 가전파되어이를연구하였으 며,

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

1

슬라이드 1

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

<31305FBEC6C0CCC5DB2E687770>

Microsoft PowerPoint - chap10-함수의활용.pptx

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

Xcovery 사용설명서

고객 카드

PowerPoint Presentation

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

[로플랫]표준상품소개서_(1.042)

adfasdfasfdasfasfadf

The Pocket Guide to TCP/IP Sockets: C Version

Transcription:

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04

SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500 만명의네이트회원의개인정보가모두유출되는사상초유의피해가발생했다. 해킹관련악성코드감염시 DB 정보절취흐름

1. nateon.exe (MD5 : 461884F1D41E9E0709B40AB2CE5AFCA7, SIZE : 166,912) 개요 : 해당파일은네이트온메신저의실행파일로위장하고있다. 실행시특정서버에접속하여, 공격자의명령에따라악의적인행위를수행하는 RAT(Remote Administration Tool) 을가진 dll 파 일을서비스로등록하여실행시킨다. 상세분석 : (1) 해당파일은 EXE 파일이지만다음과같이 EAT 를가지고있다. 일반적이지는않으나 EXE 로의 기능수행에는문제가없다. EAT 가졲재하는이유는하나의파일로 DLL 의기능까지수행하기위 함이다. EAT 에는 0x5F 개의함수가제공된다. (0x5F 개중실제동작하는것은 RqSkce 하나 ) (2) 악성코드는실행된자신의파일을사이즈만큼읽어버퍼에저장한다.

(3) 버퍼에저장한 PE 포맷의바이너리는헤더부분을수정하여 DLL 속성을추가하고 EntryPoint 를 수정하여 Dll 로동작할수있게한다. (EXE 를 DLL 로수정 ) (4) 변조한바이너리는다음의경로에저장하고 FileTime 값을 Kernel32.dll 의것으로수정한다. - (All Users 계정 )\winsvcfs.dll

(5) 이후 RUNDLL32.EXE 를이용하여생성한 dlll 파일을실행시킨다. - RUNDLL32.EXE "(All Users 계정 )\winsvcfs.dll" RqSkce SMI "( 악성코드실행경로 )\nateon.exe" 2. winsvcfs.dll (MD5 : E3D8CE21BFF2DD1882DA2775E88A9935, SIZE : 166,912) 개요 : nateon.exe 파일에서성성되며, RUNDLL32.EXE 에의해로드되는악성코드이다. 서비스로등 록되어동작하며, 특정서버에접속하여공격자의명령에따라악의적인행위를하는 RAT (Remote Administration Tool) 이다. 상세분석 : (1) 사용하고자하는함수를호출하기위해다음의 dll을동적으로로드하며, 이후 ( 시스템폴더 ) 나 (All Users계정폴더 ) 등의특정경로정보를저장해둔다. - ntdll.dll, kernel32.dll, user32.dll, advapi32.dll, gdi32.dll, - ws2_32.dll, shell32.dll, shlwapi.dll, psapi.dll, mpr.dll, - wtsapi32.dll, version.dll, msvcrt.dll, wininet.dll, sfc.dll, - odbc32.dll, ole32.dll, iphlapi.dll

(2) 분석을어렵게하기위해 API 명이나중요한문자열들을모두암호화하고있다. 암호화된데이 터는필요할때만잠시복호화하여사용하고, 바로제거하도록세트로호출된다. 또한, 불필요한 연산들이여러곳에삽입되어있다. (3) 악성코드는접속하는 URL 과포트등의암호화된데이터를메모리에복사한후복호화한다. - 복호화함수 - 복호화된데이터 ( Port : 0x50(80), URL = nateon.duamlive.com )

(4) 현재실행중인 dll 의파일명이 CRYPTBASE.DLL 이면 CreateProcessW 함수를이용하여다음의명 령을실행시키며, CRYPTBASE.DLL 이아니면바로 winsvcfs.dll 의 RqSkce 함수가실행된다. - RUNDLL32.EXE "(All Users 계정 )\winsvcfs.dll" RqSkce SMI (5) RqSkce 함수는인자값으로입력된옵션 (SMI) 에의해악성코드자신을서비스등록하게된다. - 옵션은 4 가지 : SMI(Install), SMU(Uninstall), SMRAC(RunAsConsole), SMRACU(RunAsConsoleUser) 3. SMI 옵션으로실행 (1) GetVersionExW를이용하여현재시스템에설치된 OS의버젂을체크하며 OS의종류 (Windows XP, Windows Vista, Windows 7, ) 에따라권한을획득하여서비스로등록하고실행한다. - Windows Vista는권한이없으면 ShellExecuteExW의 lpverb인자를 RunAS 로설정하여관리자권한으로 RUNDLL32.EXE를이용하여실행시킨다. ( winsvcfs.dll RqSkce SMI ) - Windows 7 은권한이없으면클래스명이 Shell_TrayWnd 인 explorer.exe 프로세스를찾고해당프로세스에 Dll 을인젝션시켜실행시킨다.

(2) 이후권한을획득하였거나, Windows XP 이면악성코드를서비스로등록하기위해다음의레지스트리를생성하고서비스를실행시킨다. ServiceMain 이 RqSkce 로설정되어있어서서비스로동작시 EAT 의 RqSkce 함수가수행된다. [SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "LocalService" += "winsvcfs" [HKLM\SYSTEM\CurrentControlSet\Services\winsvcfs] "ImagePath" = ( 시스템폴더 )\svchost.exe -k LocalService" "DisplayName"="winsvcfs" [HKLM\SYSTEM\CurrentControlSet\Services\winsvcfs\Parameters] "ServiceDll"=(All Users 계정 )\winsvcfs.dll "ServiceMain"="RqSkce" (3) 악성코드원본인 nateon.exe 를삭제한다. 4. 서비스로동작 (1) 서비스로동작하면서비스를잠시중지시킨후 4 개의 Thread 를생성한다. 특정조건을 만족하면 SMU 옵션으로프로세스를실행하여자기삭제를시도한다.

- 첫번째 Thread 는인터넷접속상태를체크하기위해다음의사이트에접속시도를한다. 접속이 성공하면 2 의 (3) 에서복호화된 URL 로접속을시도한다. ( 현재는접속불가 ) - 접속테스트 : download.windowsupdate.com - 접속성공시 : C&C 서버인 nateon.duamlive.com 으로접속시도 - 두번째 Thread 는클래스명이 static 인윈도우를하나생성한다. (width=0, height=0) - 세번째 Thread 는 C&C 서버에연결된상태에서패킷을주고받거나업데이트를시도할것으로 추정된다. - 네번째 Thread 는조건에따라 SMRAC 와 SMRACU 옵션에해당하는 RUN_AS_CONSOLE 이나 RUN_AS_CONSOLE_USER 문자열을포함하는파이프를생성하여원격지의명령을수행할수있도록한다. 이후다음과같이 RAT 에해당하는여러기능을수행한다. - 각명령에대한수행을완료하면타이머체크와서비스상태를확인하며 ServiceDll 에해당하는경로의파일에대해서속성확인과홖경변수, 그리고 CompanyName, FileDiscription, FileVersion, ProductName, ProductVersion 에대해서도반복적으로확인한다.

- RAT(CMD_Switch_case) 의기능을수행 - 명령체계 0xC000 : 데이터베이스접속및쿼리를수행한다. 0xD000 : 시스템의 TCP 정보를얻어온다. 0xD002 : 시스템의 UDP 정보를얻어온다. 0xD004 : TCP 연결을설정한다. 0xB000 : 소켓을이용하여연결한다. 0x9007 : 특정레지스트리값을설정한다. 0x9008 : 특정레지스트리값을삭제한다. 0x9009 : 특정레지스트리값을설정및삭제한다. 0xA000 : 네트워크연결된목록을가져온다.

0x9005 : 특정레지스트리키값를가져온다. 0x9000 : 특정레지스트리키의하위키를가져온다. 0x9002 : 특정레지스트리키가졲재하는지확인한다. 0x9003 : 특정레지스트리키를삭제한다. 0x9004 : 특정레지스트리키를복사한다. 0x7100 : cmd 를이용하여명령을수행한다. 0x6002 : 서비스를삭제한다. 0x6003 : 서비스의설정값을변경한다. 0x6004 : 서비스를시작한다. 0x6005 : 서비스를제어한다. 0x7002 : 파이프를생성하여연결한다. 0x300B : 파이프의내용을읽는다. 0x3000 : 디스크파일시스템및볼륨정보와여유공갂정보를얻는다. 0x2000 : 워크스테이션의화면을잠근다. 0x2001 : 시스템을로그오프시킨다. 0x2002 : 시스템을재부팅시킨다. 0x2003 : 시스템을종료시킨다. 0x2005 : 메시지박스를실행한다. 0x3001 : 파일을검색한다. 0x3004 : 파일의 MAC 값과사이즈를수집한다. 0x3007 : 파일을저장한다. 0x300A : 디렉토리를생성한다. 0x4100 : 시스템화면을캡쳐한다. 0x5000 : 프로세스리스트를얻는다. 0x5002 : 특정프로세스의각모듈에대한리스트를얻는다. 0x5004 : 프로세스를종료한다. 0x4000 : 시스템화면을제어한다. 0x300C : 특정파일을실행한다. 0x300D : 파일시스템오브젝트를복사, 이동, 이름변경, 삭제한다. 0x300E : 현재사용자의홖경변수값을얻는다. 0x300F : AllUser 경로를얻는다.

5. SMU 옵션 개요 : 악성코드자신의서비스 (winsvcfs) 를종료하고, 등록했던서비스레지스트리와 winsvcfs.dll 파일을제거하며현재실행중인프로세스를종료한다. 상세분석 : (1) 자기자신을삭제하기위해 SMU 옵션을넣어프로세스를생성한다.

2024 © docsplayer.org 개인정보보호 | 약관 | 지원