신종파밍악성코드분석 Bolaven

Similar documents
Cuckoo Sandbox (Automated Malware Analysis) Bolaven

ActFax 4.31 Local Privilege Escalation Exploit

Secure Programming Lecture1 : Introduction

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

!K_InDesginCS_NFH

목차 1. 개요 USB 드라이버 설치 (FTDI DRIVER) FTDI DRIVER 실행파일 USB 드라이버 확인방법 DEVICE-PROGRAMMER 설치 DEVICE-PROGRAMMER

*2008년1월호진짜

게시판 스팸 실시간 차단 시스템

개요 최근사용자들이인터넷을사용하던중에 CVE (Java), CVE (IE), CVE (Flash), CVE (IE) 취약점을이용한 sweet orange exploit kit 가전파되어이를연구하였으 며,

The Pocket Guide to TCP/IP Sockets: C Version

#WI DNS DDoS 공격악성코드분석

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

소개 Mac OS X (10.9, 10.10, 10.11, 10.12) 와 OKI 프린터호환성 Mac OS X 를사용하는 PC 에 OKI 프린터및복합기 (MFP) 제품을연결하여사용할때, 최고의성능을발휘할수있도록하는것이 OKI 의목 표입니다. 아래의문서는 OKI 프린터및

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Office Office Office 365,,,,,. Microsoft Microsoft

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

슬라이드 1

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F >

2) 활동하기 활동개요 활동과정 [ 예제 10-1]main.xml 1 <LinearLayout xmlns:android=" 2 xmlns:tools="

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

유포지탐지동향

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

UI TASK & KEY EVENT

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Smart Power Scope Release Informations.pages

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1

Secure Programming Lecture1 : Introduction

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

LCD Monitor

Windows 8에서 BioStar 1 설치하기

문서의 제목 나눔고딕B, 54pt

자바-11장N'1-502

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

08_spam.hwp

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

Secure Programming Lecture1 : Introduction

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

제20회_해킹방지워크샵_(이재석)

DR-M140 사용 설명서

ronny report( wooyaggo, hkpco ).hwp

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

Studuino소프트웨어 설치

고객 카드

슬라이드 1

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

MOD360: Microsoft Virtualization 360A Panel Discussion on Microsoft’s Virtualization Strategy

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

gcloud storage 사용자가이드 1 / 17

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

SOFTBASE XFRAME DEVELOPMENT GUIDE SERIES HTML 연동가이드 서울특별시구로구구로 3 동한신 IT 타워 1215 호 Phone Fax Co

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

.

KISA-GD

PowerPoint 프레젠테이션

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

8 장데이터베이스 8.1 기본개념 - 데이터베이스 : 데이터를조직적으로구조화한집합 (cf. 엑셀파일 ) - 테이블 : 데이터의기록형식 (cf. 엑셀시트의첫줄 ) - 필드 : 같은종류의데이터 (cf. 엑셀시트의각칸 ) - 레코드 : 데이터내용 (cf. 엑셀시트의한줄 )

rmi_박준용_final.PDF

cam_IG.book

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Microsoft PowerPoint - 권장 사양

Consider the USB Malicious Program.hwp

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응


1

hlogin7

슬라이드 1

<C1A4C3A5B8DEB8F05FC1A C8A35FB0F8B0F8B5A5C0CCC5CD20B0B3B9E6B0FA20B0ADBFF8B5B52E687770>

임베디드시스템설계강의자료 4 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

Security Trend ASEC Report VOL.63 March, 2015


[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

.

FileMaker 15 WebDirect 설명서

Microsoft PowerPoint 웹 연동 기술.pptx

Red Alert Malware Report

IRISCard Anywhere 5

ThinkVantage Fingerprint Software

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Microsoft Word - Static analysis of Shellcode.doc

PowerPoint Presentation

슬라이드 1

Digital Forensic Report (Infringement Accident Scenario #1) 침해사고대응 : 시나리오분석 Best of the Best 4th Digital Forensic Track YungSan University Kim.

[ 목차 ] 1. 개요 1 2. 악성코드감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 D

Security Trend ASEC Report VOL.56 August, 2014

Transcription:

신종파밍악성코드분석 Bolaven 2013.06.27

개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로 유도하여사용자의금융거래정보등을유출하는방법 [ 그림 1. 최근파밍현황 ] [ 그림 2. 가짜팝업을이용한파밍화면 ] - 1 -

신종파밍악성코드유포흐름 1. 신종파밍악성코드흐름분석 1) Windows 사용자의 hosts 권한을변경하여변조 [ 그림 3. 신종파밍악성코드유포흐름도 ] 1 hxxp://vvvvvvcbc.googlecode.com/files/dafa8.exe 악성파일실행 2 자가복제를하여 C:\Windows\System32\Hostssoon.exe 저장 3 CMD 창을사용하지못하도록레지스트리값수정 4 C:\Windows\qc.bat 파일을생성하여 hosts 파일의사용자권한을모든권한으로변경 5 hxxp://yongm.dafa8088.com/abcd.txt (hosts 변조레코드 ) 다운로드후 hosts 파일변조 6 C:\Windows\bh.bat 파일을생성하여 hosts 파일의권한을다시읽기권한으로변경 7 MAC Address 획득 8 hxxp://yongm.dafa8088.com/count.asp 로정보유출 - 2 -

신종파밍악성코드분석 1. data8.exe 실행압축확인 (V3진단명: Trojan/Win32.Blocker) 해당파일은실행압축되어있었으며, 자가복제및 Windows계열 OS에서기본제공되는파일들을이용하여권한변경, 감염자의정보유출 (MAC, OS정보, 국가정보 ) 행위가확인됨 1) 파일구성확인 - UPX & vmprotect로 packing [ 그림 4. WinHex 를통한파일확인 ] 2) MUP (Manual UnPacking) 후 OEP (Original Entry Point) 확인 [ 그림 5. OEP 화면 ] 2. data8.exe 파일과생성된 Hostssoon.exe ( 자가복제본 ) 비교 [ 그림 6. MD5 & V3 진단명비교 ] - 3 -

3. data8.exe 행위기반분석 1) System32 경로확인 - kernel32.getsystemdirectorya: Windows계열 OS의 system32 ( 시스템폴더 ) 경로확인 - 저장경로 : C:\WINDOWS\system32\Hostssoon.exe [ 그림 7. kernel32.getsystemdirectorya 함수 ] [ 그림 8. 악성파일자가복제본저장 ] - CMD 창을사용하지못하도록레지스트리값수정 [ 그림 9. DisableCMD 화면 ] - 4 -

2) 수정된레지스트리값확인 - 레지스트리경로 : 내컴퓨터 \HKCU\Software\Policies\Microsoft\windows\System\DisableCMD [ 그림 10. CMD 레지스트리값확인 ] [ 그림 11. Command 확인 ] * Registry Fix Tool 특정레지스트리정보를악용하여프로그램의실행을방해하는악성코드가많이존재하게되는데본유틸리티는악성코드가변경한레지스트리정보를수정하는프로그램 ( 참조. http://www.ahnlab.co.kr/kr/site/download/vacc/vaccview.do?seq=83) - 5 -

3) txt 파일다운로드과정 - 감염된 PC 의 hosts 파일을변조하기위해 GET 방식을사용하여외부에서 txt 파일을다운로드함 [ 그림 12. GET Method 화면 ] - 하단 URL 은하드코딩되어있음 (= 그림 20 번항목참고 ) [ 그림 13. abcd.txt 화면 ] 4) hosts 파일변조를위해배치 (.bat) 파일 2 개생성 - Windows7 버전이상 hosts 파일은보안강화로인해관리자권한이아니면수정할수없음 [ 그림 14. bat file 생성화면 ] 5) qc.bat 파일 - 생성경로 : C:\Windows\qc.bat [ 그림 15. qc.bat 내용 ] ㄱ ) taskkill 명령어를사용하여 conim.exe 프로세스강제종료 ㄴ ) cacls 명령어를사용하여사용자 everyone 의 hosts 파일권한을모든권한으로변경 ㄷ ) attrib 명령어를사용하여 hosts 파일읽기, 보관, 시스템파일로설정및숨김파일로설정변경 - 6 -

6) bh.bat 파일 - 생성경로 : C:\Windows\bh.bat [ 그림 16. bh.bat 내용 ] ㄱ ) attrib 명령어를사용하여 hosts 파일읽기, 보관, 시스템파일로설정및숨김파일로설정변경 ㄴ ) cacls 명령어를사용하여사용자 everyone 의 hosts 파일권한을읽기권한으로변경 7) Windows 계열에서기본제공되는파일 (taskkill.exe, cacls.exe, attrib.exe) - taskkill : 프로세스종료시사용 [ 그림 17. taskkill.exe 옵션 ] - cacls : 파일의액세스제어목록 (ACL) 을화면에표시및수정 [ 그림 18. cacls.exe 옵션 ] - attrib : 파일특성을화면에표시및수정 [ 그림 19. attrib.exe 옵션 ] - 7 -

8) 파일내부하드코딩된 URL - URL: hxxp://yongm.dafa8088.com/count.asp ( 현재 ISP 에서 Null 처리됨 ) [ 그림 20. Malzilla decode (XOR Key: 10)] 9) ScriptControl 호출 (VBScript 사용목적 ) [ 그림 21. ScriptControl 함수 ] 10) VBScript 를이용한 MAC Address 함수내용 Function MACAddress() // MAC Address 함수선언 Dim mc,mo // VisualBasic에서쓰는하나이상의변수선언형식 Set mc=getobject("winmgmts:").instancesof("win32_networkadapterconfiguration") //mc 값에 Winmgmts이용해서, 네트워크환경설정값을할당함 For Each mo In mc //mc안에 mo를확인 If mo.ipenabled=true Then //mo에 IP주소할당이참이라면 MACAddress= mo.macaddress //mo에 MAC Address값을얻어온다 ) [ 그림 22. VisualBasicScript 코딩 ] - 8 -

4. 감염된 PC 에서행위확인 1) MAC Address 파악 - 개인정보유출을위해서파일내부에코딩된 VBScript 를이용하여 MAC Address 를확인함 [ 그림 23. MAC Address 노출 ] 2) 사용자 OS 판별 - Windows 계열의 OS 를감염대상으로함 [ 그림 24. OS 종류 ] - data8.exe 파일분석은 WindowsXP 에서진행되어 XP 부분로직으로분기됨 [ 그림 25. XP 로분기된화면 ] - 9 -

3) iexplore.exe 실행 - 사용자정보를특정도메인 (hxxp://yongm.data8088.com) 으로유출하기위해실행 [ 그림 26. 정보수집로직 ] [ 그림 27. 개인정보유출화면 ] 5. 서버와파일전송을위한헤더확인 1) HttpOpenRequestA 함수 - 80 port 로파일전송을위해쓰는 Windows API 함수 [ 그림 28. HTTP/1.1 사용 ] 2) localhost 에 9700 port open [ 그림 29. Port open 화면 ] - 10 -

3) HTTP 헤더필드확인 - Accept: image/gif, image/bmp, image/x-xbitmap, image/jpeg, image/pjpeg, application/x- shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* [ 그림 30. Data Type 화면 ] - Accept-Lanauage: zh-cn [ 그림 31. Accept Language 화면 ] - 브라우저정보 [ 그림 32. UserAgent 화면 ] - 11 -

6. 패킷확인 1) abcd.txt 파일다운로드 [ 그림 33. abcd.txt 내용확인 ] - 12 -

2) hosts 파일변조내역 (abcd.txt 내용 ) [ 그림 34. 국내금융권대상 ] - 13 -

3) host 파일이변조된인터넷창동작확인 [ 그림 35. 파밍화면 ] Team bolaven 은보안관제팀분석소모임입니다. ( 양광삼, 김대업, 이은재, 김준호, 설인규, 김용희 ) - 14 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원