1

Similar documents
1

1

1

IssueMakersLab

<4D F736F F D20332E F5320BEC7BCBAC4DAB5E5BFA120B4EBC7D120BAD0BCAE20BAB8B0EDBCAD>

목차 1. 요약편 DDoS 공격, 7.7 DDoS 대란의업그레이드판 DDoS와차이점그리고유사점 피해통계 타임라인 공격대상 DDoS 공격관련 FAQ...

*2008년1월호진짜

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

#WI DNS DDoS 공격악성코드분석

방송통신위원회 : 인터넷정책과홍진배과장, 김도환사무관 ( ) 행정안전부 : 정보자원정책과김길연과장, 손성주사무관 ( ) ActiveX, 민간 정부 200 대사이트중 168 곳

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

ActFax 4.31 Local Privilege Escalation Exploit

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

5-03-Â÷¼¼´ëÀ¥Iš


uFOCS

歯2019

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

TGDPX white paper

ESET Endpoint Security

Microsoft Word - eClipse_사용자가이드_

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

<31305FBEC6C0CCC5DB2E687770>

CODESYS 런타임 설치과정

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

07_alman.hwp

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Windows 8에서 BioStar 1 설치하기

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

게시판 스팸 실시간 차단 시스템

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

신종파밍악성코드분석 Bolaven

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

untitled

ìœ€íŁ´IP( _0219).xlsx

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

gcloud storage 사용자가이드 1 / 17

Security Trend ASEC Report VOL.56 August, 2014

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

6강.hwp

ICAS CADWorx SPLM License 평가판설치가이드

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK

Install stm32cubemx and st-link utility

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

PowerPoint 프레젠테이션

AVG PC TuneUp User Manual

08_spam.hwp

Windows Server 2012

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

초보자를 위한 ASP.NET 2.0

Cubase AI installation guide

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

문서의 제목 나눔고딕B, 54pt

슬라이드 1

제20회_해킹방지워크샵_(이재석)


1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

슬라이드 1

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

DBMS & SQL Server Installation Database Laboratory

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

벤처연구사업(전동휠체어) 평가

슬라이드 0

05 Agent 수동 업데이트 및 바이러스 검사 명령 실행

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

System Recovery 사용자 매뉴얼

Consider the USB Malicious Program.hwp

ESET NOD32 Antivirus

PowerPoint Template

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

tiawPlot ac 사용방법

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항

Cloud Friendly System Architecture

Secure Programming Lecture1 : Introduction

Microsoft Word FCKeditor.doc

PowerPoint 프레젠테이션

Windows 10 General Announcement v1.0-KO

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

*

<4D F736F F F696E74202D20322D352DC0CEC5CDB3DDB0D4C0D328C1A4BFECC3B629>

UDP Flooding Attack 공격과 방어


PowerPoint Presentation

!K_InDesginCS_NFH

Dropbox Forensics

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

JDK이클립스

Red Alert Malware Report

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Endpoint Protector - Active Directory Deployment Guide

Transcription:

3.3 DDoS 분석보고서 Ver 4.0 2011.03.05 잉카인터넷 시큐리티대응센터

1. 분석개요 1.1. 목적 2011년 3월 3일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그 - 패턴버전 :: 2011.03.05.05 - 패턴업데이트로그 2011년 3월 3일 02번째긴급업데이트 ( 23시 20분경완료 ) Trojan/W32.Dllbot.40960 Trojan/W32.Dllbot.46432 Trojan/W32.Dllbot.71008 2011년 3월 4일 01번째긴급업데이트 ( 01시 00분경완료 ) Trojan/W32.Agent.10240.OO Trojan/W32.Agent.11776.OF 2011년 3월 4일 02번째긴급업데이트 ( 11시 00분경완료 ) Trojan/W32.Agent.118784.ACE Trojan/W32.Agent.131072.YG 2011년 3월 4일 03번째긴급업데이트 ( 11시 30분경완료 ) Trojan/W32.Agent.20480.AZR Trojan/W32.Agent.11776.OG 2011년 3월 4일 04번째긴급업데이트 ( 17시 15분경완료 ) Trojan/W32.Agent.126976.XY Trojan/W32.Agent.16384.ALF 2011년 3월 4일 05번째긴급업데이트 ( 18시 30분경완료 ) Trojan/W32.Agent.42320 Trojan/W32.Agent.46416.B 2011년 3월 4일 06번째긴급업데이트 ( 22시 20분경완료 ) Trojan/W32.Agent.24576.BGE Trojan/W32.Agent.10752.PI

2011년 3월 5일 07번째긴급업데이트 ( 12시 30분경완료 ) Trojan/W32.Agent.77824.AMN Trojan/W32.Agent.71000.B Trojan/W32.Agent.13312.MD Trojan/W32.Agent.36864.BZN 2011년 3월 5일 08번째긴급업데이트 ( 13시 15분경완료 ) Trojan/W32.Agent.27648.OV

2. 악성코드분석 2.1. 전체시나리오 [ 그림 1. DDoS 전체동작시나리오 ] - Sharebox Update 모듈이존재하는서버가해킹된이후공격자가 SBUpdate.exe ( Sharebox 업데이트모듈 ) 을악성프로그램으로변경한다. 변경된모듈은사용자에관련프로그램을실행할경우정상업데이트파일처럼다운로드후실행되며 SBUpdate.exe가실행된 PC는추가적인동작 ( 다운로드 ) 으로인해감염되어좀비 PC의역할을수행해함께생성되는 tljoqgv.dat내에기록된 URL로 DDoS 공격을수행한다.

2.2. 정밀분석 [ 그림 2. 파일간의동작과정 ]

2.2.1. SBUpdate.exe - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: SBUpdate.exe (10KB), SBUpdate.exe (12KB) 3월 4일 4차샘플 :: bobo.exe (12KB ), filecity.exe ( 20KB ) 3월 5일 9차샘플 :: ZIOFILE.exe ( 13KB ), newsetup2.exe ( 27KB ) - 동작 사용자 PC 정보유출 ( PC 및도메인명등 ) Anti-Monitoring 함수명 :: FindWindowA( ) 비교문자열 PROCMON_WINDOW_CLASS 18467-41 흔적제거 자체삭제 Batch 파일실행 Cache 파일제거 함수명 :: DeleteUrlCacheEntryA( ) 대상 URL :: hxxxxxp://sub.sharebox.co.kr/sbupdate.exe 1) 사용자 PC 정보유출 [ 그림 3. 사용자정보유출 ] - 사용자 PC 의기본정보 ( 도메인명등 ) 을확인한후 Send( ) 를통해원격지에전달 한다. 감염 PC 에대한정보수집이목적인것으로추정된다.

2) Anti-Monitoring [ 그림 4. Monitor Tool 체크 ] - 특정모니터링툴이동작하고있는지 FindWindowA( ) 를통해서윈도우의 class 를 얻어와특정 class 명과비교한다.

3) 흔적제거 [ 그림 5. 자체삭제동작 ] - Batch 파일을통해최초숙주로추정되는 SBUpdate.exe 파일과삭제동작을수행 하는 batch 파일을제거한다. [ 그림 6. Url Cache 삭제 ] - 함수 DeleteUrlCacheEntryA( ) 를통해최초다운로드된 URL 과관련된 Cache 를제 거한다. 이는최초유포지를확인하기어렵게하기위함이다.

2.2.2. Host.dll - 접수일자및변종샘플 ( 추정 ) 3월 4일 3차샘플 :: Host.dll ( 116KB ), ntcm63.dll ( 128KB ) 3월 5일 9차샘플 :: svki65.dll ( 76KB ) - 동작 파일 Drop 및서비스등록 [Random]svc.dll ( 예 :: mltisvc.dll ) 관련파일 :: faultrep.dat [Random]svc.dll ( 예 :: watrsvc.dll ) 관련파일 :: tlntwye.dat [Random]svc.dll ( 예 :: sisosvc.dll ) 관련파일 :: noise03.dat 공격지목록파일 Drop Tljoqgv.dat 업데이트방해 1) 파일 Drop 및서비스등록 [ 그림 7. 서비스등록부분 ] - 각기능별로나눠진악성코드및악성코드별 Data 파일을생성해서비스로등록해 재부팅후에도동작이가능하도록한다.

2) 업데이트방해 [ 그림 8. 업데이트방해 ] - 이전 7.7 DDoS 대란처럼안티바이러스업체의 Update 경로를방해하며이를위 해사용자 PC 의 hosts 파일을 [ 그림 8] 과같이변조한다. 3) 공격지목록파일 Drop ( 40개 URL 존재 ) - 공격대상 naver.com // daum.net // auction.co.kr // hangame.com dcinside.com // gmarket.co.kr // cwd.go.kr // mofat.go.kr nis.go.kr // unikorea.go.kr // assembly.go.kr // korea.go.kr dapa.go.kr // police.go.kr // nts.go.kr // customs.go.kr mnd.mil.kr // jcs.mil.kr // army.mil.kr // airforce.mil.kr navy.mil.kr // usfk.mil // dema.mil.kr // kunsan.af.mil kcc.go.kr // mopas.go.kr // kisa.or.kr // ahnlab.com fsc.go.kr // kbstar.com // wooribank.com // hanabank.com keb.co.kr // shinhan.com // jeilbank.co.kr // nonghyup.com kiwoom.com // daishin.co.kr // korail.com // khnp.co.kr - 1차접수샘플과 3차접수샘플에의해생성된공격지 URL은동일하다. - 9차접수샘플에의해생성된공격지 URL은다음과같다. cwd.go.kr // kbstar.com

2.2.3. sfofsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: sfofsvc.dll ( 46KB ) 3월 4일 3차샘플 :: sisosvc.dll ( 46KB, Host.dll이생성하는동일샘플 ) - 동작 MBR 파괴 특정파일삭제 1) MBR 파괴 [ 그림 9. MBR 파괴 ] - MBR 을가리키는물리디스크의첫번째 Sector 를 Hex 0x00 으로채워파괴한다. [ 그림 10. 동작시간확인부분 ] - MBR 파괴동작시간은함께동작하는 noise03.dat 파일의정보를기준으로구분된다. [ 그림 9] 와같이 2011년 3월 4일 11시 40분 20초이후일경우만동작이수행된다.

2) 특정확장자파일삭제 [ 그림 11. 확장자비교부분 ] [ 그림 12. 압축된파일후정상파일제거확인 ] - ( 윈도우폴더 ) 및 ( 프로그램파일폴더 ) 를제외한모든폴더를확인하면서모든파일의확장자를확인후일치하는확장자의경우파일을 cab으로압축한후 cab 파일내의데이터는파일크기만큼 Hex 0x00으로채우고정상파일은삭제한다.

- 비교대상확장자.doc //.docx //.docm //.wpd //.wpx.wri //.xls //.xlsx //.mdb //.ppt.pptx //.pdf //.hwp //.hna //.gul.kwp //.eml //.pst //.alz //.gho.rar //.php //.asp //.aspx //.jsp.java //.cpp //.h //.c //.zip

2.2.4. wsfcsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: wsfcsvc.dll ( 40KB ) 3월 4일 3차샘플 :: watrsvc.dll ( 40KB, Host.dll 이생성하는동일샘플 ) 3월 5일 9차샘플 :: wtvtsvc.dll ( 36KB, svki65.dll 이생성하는동일샘플 ) - 동작 DDoS 공격수행 기법 :: UDP 공격, ICMP 공격, CC 공격 1) DDoS 공격수행 - UDP 공격 [ 그림 13. UDP 공격패킷 ] - ICMP 공격 [ 그림 14. ICMP 공격패킷 ]

- CC 공격 [ 그림 15. CC 공격패킷 ] - 하나의공격대상에대해 3 가지공격을모두수행하는형태를갖고있으며 공격기법을나누는조건은별도로없었다. 2) 공격시간확인 [ 그림 16. DDoS 공격시간관련 ] - Dat ( tlntwye.dat ) 파일내에공격시간과관련된정보를갖고있다. 해당 dat 파일은 DLL 파일을생성하는숙주 ( 접수된샘플중 Host.dll ) 가생성하며현재 3월 4 일 6시 30분에공격이되도록설정되어있다.

2.2.5. meitsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: meitsvc.dll ( 70KB ) 3월 4일 3차샘플 :: mltisvc.dll ( 70KB, Host.dll이생성하는동일샘플 ) 3월 5일 9차샘플 :: messsvc.dll ( 70KB, svki65.dll이생성하는동일샘플 ) - 동작 원격지연결및파일다운로드 [ 그림 17. 원격지서버접속시도 ] - 원격지서버에연결해파일다운로드가예상되나현재서버접근차단으로인해정확한동작은확인되지않았다. - 연결서버 IP 208.71.147.242:443 212.62.100.211.443 59.125.224.43:443 120.161.118.10.443 203.196.252.244:443 210.145.163.228:53 147.175.129.216:443 59.120.179.11.443 212.102.5.42:443 63.163.221.71:443-9차접수샘플의연결서버 IP 131.196.12.163:12236 57.59.36.48:64 80.255.21.136:16416 69.239.139.8:2448 224.80.81.232:815 89.89.195.139:59493 224.163.48.48:64

57.29.36.48:64 80.255.21.144:16416 29.52.48.64:29952

2.3. 진단치료 - 패턴버전 :: 2011.03.05.05 [ 그림 18. 진단 / 치료화면 ] - 전용백신다운로드경로 http://avs.nprotect.net/freeav/nprotecteavdllbot.com