07_alman.hwp

Similar documents
*2008년1월호진짜

08_spam.hwp

용어사전 PDF

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

ActFax 4.31 Local Privilege Escalation Exploit

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

Windows 8에서 BioStar 1 설치하기


untitled

COVER.HWP

이슈분석 2000 Vol.1

가볍게읽는-내지-1-2

한눈에-아세안 내지-1

kbs_thesis.hwp


텀블러514

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

CODESYS 런타임 설치과정

GSC Incident Report-바이킹 바이러스 분석

#WI DNS DDoS 공격악성코드분석

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Windows Server 2012

<C0CCC8ADC1F82E687770>

System Recovery 사용자 매뉴얼

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Red Alert Malware Report

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

TGDPX white paper

슬라이드 1

<31305FBEC6C0CCC5DB2E687770>

NTD36HD Manual

나. NAS 기본정보 1) NAS IP : XX ( 정보화지원실에서각부서별로알려드릴예정입니다.) 2) NAS 접속 ID : MySNU ID와동일합니다. 3) NAS 접속초기비밀번호 : 이름 * 전화번호 ex) 김공대 *7429 무조건필수로변경해주시기바

슬라이드 1

¿ì¸®Áö07¿ù

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Android Master Key Vulnerability

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

산업제어시스템에서활동하는웜바이러스분석 - 트래픽과다유발및시스템셧다운등제어시스템에악영향 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

정치사적

ICAS CADWorx SPLM License 평가판설치가이드

NV9_Ver1.2

알림 PointLock PRO Guide Version 11.0 Copyright c 1991 Ahranta, Inc. All Rights Reserved 본사용자가이드의내용은제품의성능향상과기능개선에따라사전예고없이변경될수있 습니다. 아란타 ( 주 ) 는본사용자가이드에서

< B657220BBE7BFEBB8C5B4BABEF32E687770>

PowerPoint 프레젠테이션

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

Chapter 1

Windows 10 General Announcement v1.0-KO

Microsoft PowerPoint - 권장 사양

제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Netgear B2B

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks


개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

<B1B9BEEEBEEEC8D6B7C25FB9AEB9FDBEEEC8D E687770>

Consider the USB Malicious Program.hwp


HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

로거 자료실

논문 작성 기준

Install stm32cubemx and st-link utility

Security Trend ASEC Report VOL.56 August, 2014

1. 개요 악성코드는여러분류로나누어볼수가있다. 이중일반사용자의입장에서 악성코드 라는단어보다친숙한 바이러스 가있다. 사실필자도보안을공부하기이전에는 악성코드 라는단어는아예들어보지못했고, 대신 바이러스 라는단어로모든악성코드를지칭했었다. 바이러스는악성코드분류의한종류로 스스로를

EQST Insight_201910

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

제목을 입력하세요

iii. Design Tab 을 Click 하여 WindowBuilder 가자동으로생성한 GUI 프로그래밍환경을확인한다.

PowerPoint 프레젠테이션

SBR-100S User Manual

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

- 2 -

Microsoft PowerPoint - 3장-MS SQL Server.ppt [호환 모드]

I

gcloud storage 사용자가이드 1 / 17

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Cubase AI installation guide

프로젝트관리시스템(PMS) 기능개선 검토회

당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다.

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

수기-내지-최종

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

왜곡보정버전업그레이드순서 - Windows 판 - 니콘제품을애용해주셔서대단히감사합니다. 여기에서는왜곡보정의버전업그레이드에대해설명하고있습니다. 그리고니콘서비스센터에서의업데이트도받고있으므로사용하시는환경등으로펌웨어를업데이트할수없는사용자는이용하여주십시오. 사용하시는카메라사용법

108 KOREA INSTITUTE OF LOCAL FINANCE

88 KOREA INSTITUTE OF LOCAL FINANCE

Chap 5 루트파일시스템 (Root F/S)

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

Transcription:

1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다. 감염후, 자기업데이트기능및자기보호를위한은폐기능, 보안프로그램종료기능등이확인되었다. 2. 전파방법 / 감염절차 o 전파방법악성코드가실행되면다음과같이자기복제를시작한다.. 감염PC내 exe 파일감염. 네트워크공유폴더를통한전파. USB등이동매체를통한전파 악성코드의자기복제기능상세 exe 파일감염 * 악성코드는감염 PC 내의 exe 파일을찾아감염시킨다. 이중특정한이름을가진파일들은감염시키지않는다. 감염제외대상파일명은다음과같다 ( 표 ) 감염제외대상파일리스트 wooolcfg.exe, woool.exe, ztconfig.exe, patchupdate.exe, trojankiller.exe, xy2player.exe, flyff.exe, xy2.exe, au_unins_web.exe cabal.exe, cabalmain9x.exe, cabalmain.exe, meteor.exe, patcher.exe, mjonline.exe, config.exe, zuonline.exe, userpic.exe main.exe, dk2.exe, autoupdate.exe dbfsupdate.exe, asktao.exe, sealspeed.exe xlqy2.exe, game.exe, wb-servi, ce.exe, nbt-drag onraja2006.exe, dragonraja.exe, mhclient-connect.exe hs.exe, mts.exe, gc.exe, zfs.exe,neuz.exe maplestory.exe, nsstarter.exe, nmcosrv.exe, ca.exe, nmservice.exe, kartrider.exe, audition.exe, zhengtu.exe

( 그림 ) 전체파일을검색하여각파일마다이름을확인 ( 그림 ) 감염제외대상파일명 또한, 아래와같은특정폴더내의파일들은감염시키지않는다. ( 표 ) 감염제외대상폴더 \QQ \WINNT\ \WINDOWS\ \LOCAL SETTINGS\TEMP\

이동디스크통한전파드라이브타입을체크하여이동식디스크일경우, boot.exe, autorun.inf 파일을생성한다. ( 그림 ) 파일생성루틴 원격공유폴더를통한전파 네트워크공유폴더및관리목적공유폴더를통하여원격에있는시스템에대한감염을시도한다.

i) 원격시스템접근시 Dictionary Attack을수행하며, 대입되는암호리스트는다음과같다. password1, monkey, password, abc123, qwerty, letmein, root, mypass123, owner test123, love, admin123, qwer,!@#$%^&*(),!@#$%^&*(,!@#$, %^&*,!@#$%^&,!@#$%^,!@#$%, asdfgh, asdf,!@#$, 654321, 123456789, 1234, 5, aaa, 123, 111,1, admin. ( 그림 ) 계정을통한공유접근 ( 그림 ) Dictionary 암호리스트 ii) 암호가취약할경우원격공유폴더에접근하여해당시스템폴더에 setup.exe 파일을생성. ( 그림 ) 원격시스템파일생성루틴

생성된파일은 DLANX 이름으로서비스에등록하여실행시킨다. o 감염과정예 iii) Alman에감염되어있는파일을실행하면, 윈도우폴더에 linkinfo.dll 파일이생성되며해당파일이 explorer 프로세스에인젝션된다. 또한, 중복감염을방지하기위하여뮤텍스를생성한다. 생성되는뮤텍스 : "PNP#NETMUTEX#1#DL5" " DL5_INF " CORE_DL5_" ( 그림 ) 뮤텍스생성루틴예

iv) 아래의커널파일을생성함. 악성코드를은폐하기위한커널후킹기능을수행. - 생성위치및파일명 : 시스템폴더 \drivers\rsboot.sys " 시스템폴더 \drivers\nvmini.sys " 시스템폴더 \drivers\isdrv118.sys ( 그림 ) 파일생성, 등록루틴예 3. 악성기능분석 o 악성코드업데이트관리공격자가구성해놓은특정웹사이트에간단한악성코드버젼정보, 볼륨정보, IE버젼정보등을전송하고, 업데이트된악성코드를다운로드받는다. 공격자에게전송하는정보유출형식은다음과같다. ( IE버젼정보, 볼륨정보, 백신설치현황정보등 )

http://info.[ 생략 ].com/xxx?action=post&hd=xxxxxxxxxxxxxxxxxxx&ot=2&iv=6.0&av=0 파라미터값을전달후해당사이트로부터업데이트된악성코드를다운로드받는다. 해당파일은 윈도우폴더 의위치에 \AppPatch\AcLue.dll 파일로저장되고실행된다. - 업데이트요청유형예 http://info.s[ 생략 ].com/xxx?action=update&version=%u ( 그림 ) 업데이트요청및파일생성루틴예 o 2차추가악성코드설치 Alman는추가악성코드를설치하는기능을가지고있다. http://k.s[ 생략 ]1.com/k.dat로부터추가악성코드사이트리스트를받으며, 해당사이트로

접속하여악성코드를다운로드및설치한다. 현재는해당사이트들이제거 / 조치되어확인이불가능하였지만, 2차악성코드는사용자정보를유출시키는 Trojan 계열의악성코드였을것으로추정된다. - 접속사이트 : http://k.s[ 생략 ].com/k.dat o 자기보호기능 Alman은아래와같은자기보호기능을가지고있다. - 일부보안제품서비스를종료시킨다. 종료대상서비스는다음과같다 hooksys, KWatch3.exe, KRegEx, KLPF, NaiAvFilter1 NAVAP, AVGNTMGR, AvgTdi, nod32drv, PavProtect TMFilter, BDFsDrv, VETFDDNT o 또한커널후킹을하여자신을은폐한다. 자기은폐를위하여후킹되는대상 API는다음과같다. - NtDeleteKey - NtDeleteValueKey - NtEnumerateKey - NtLoadDriver - NtQueryDirectoryFile - NtSaveKey - NtClose

4. 피해현황및위험요소 Alman 바이러스웜은국내외에서피해및영향력이있었던악성코드로써주의가필요하다. 이번변종의경우업데이트사이트가제거 / 조치되어기능업그레이드위험성은없으나, 개인 PC내의많은실행파일들을감염시키며, 네트워크및이동저장매체를통하여전파가될수있으므로주의할필요가있다. 5. 예방방법 사용자는윈도우암호와공유폴더암호를추측하기어렵게설정하며, 백신을최신업데이트하고실시간모니터링기능을활성화하므로써감염을예방할수있다. 이바이러스는감염시감염PC 내의많은 exe 파일들에자신을삽입시켜놓으므로, 백신으로전체파일시스템에대하여점검하여야한다.