1

Similar documents
1

1

1

IssueMakersLab

<4D F736F F D20332E F5320BEC7BCBAC4DAB5E5BFA120B4EBC7D120BAD0BCAE20BAB8B0EDBCAD>

목차 1. 요약편 DDoS 공격, 7.7 DDoS 대란의업그레이드판 DDoS와차이점그리고유사점 피해통계 타임라인 공격대상 DDoS 공격관련 FAQ...

#WI DNS DDoS 공격악성코드분석

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

*2008년1월호진짜

ActFax 4.31 Local Privilege Escalation Exploit

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

방송통신위원회 : 인터넷정책과홍진배과장, 김도환사무관 ( ) 행정안전부 : 정보자원정책과김길연과장, 손성주사무관 ( ) ActiveX, 민간 정부 200 대사이트중 168 곳

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

07_alman.hwp

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

CODESYS 런타임 설치과정

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

5-03-Â÷¼¼´ëÀ¥Iš


월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

신종파밍악성코드분석 Bolaven

Install stm32cubemx and st-link utility

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Windows Server 2012

<31305FBEC6C0CCC5DB2E687770>

uFOCS

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

歯2019

08_spam.hwp

TGDPX white paper

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Security Trend ASEC Report VOL.56 August, 2014

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

ESET Endpoint Security

Microsoft Word - eClipse_사용자가이드_

행자부 G4C

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

ICAS CADWorx SPLM License 평가판설치가이드

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Windows 10 General Announcement v1.0-KO

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

슬라이드 0

문서의 제목 나눔고딕B, 54pt

게시판 스팸 실시간 차단 시스템

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

슬라이드 1

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

Microsoft Word FCKeditor.doc

untitled

Windows 8에서 BioStar 1 설치하기

gcloud storage 사용자가이드 1 / 17

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

Microsoft PowerPoint - 권장 사양

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

I. 서론 FOCUS 한국인터넷진흥원(KISA) 인터넷침해대응센터(KrCERT)는 다양한 방법으로 해킹사고를 탐지하고 있다. 인터넷침해대응센터 자체적으로 보유하고 있는 탐지체계 뿐만 아니라 시스템 담당자들이 직접 신고하는 신고체계 또한 해킹사고 탐지에 있어 중요한 역할

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

PowerPoint 프레젠테이션

JDK이클립스

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

ìœ€íŁ´IP( _0219).xlsx

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

DBMS & SQL Server Installation Database Laboratory

ezpdf WorkBoard 2.0 사용 안내서 c 2009 유니닥스(주) ezpdf WorkBoard 2.0 사용 안내서의 내용과 ezpdf WorkBoard 2.0 프로그램은 저작권법과 컴퓨터 프로그램 보호법으로 보호 받습니다. 발 행 일 2009년 9월 1일 1판

슬라이드 1

System Recovery 사용자 매뉴얼

SBR-100S User Manual

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK

슬라이드 1

Microsoft Word - src.doc

6강.hwp

PowerPoint Template

EQST Insight_201910

PowerPoint 프레젠테이션

디럭스바이블 2005 설치가이드 ( 주 ) 미션소프트 TEL FAX 디럭스바이블 2005 설치가이드 DeluxeBible 2005

05 Agent 수동 업데이트 및 바이러스 검사 명령 실행

Consider the USB Malicious Program.hwp

Cloud Friendly System Architecture

AVG PC TuneUp User Manual

Cubase AI installation guide

MF Driver Installation Guide

초보자를 위한 ASP.NET 2.0

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

Secure Programming Lecture1 : Introduction

IT CookBoo, 컴퓨터 실습

Transcription:

3.3 DDoS 분석보고서 Ver 5.0 2011.03.06 잉카인터넷시큐리티대응센터 ( 대응팀공식블로그 :: http://erteam.nprotect.com/ )

1. 분석개요 1.1. 목적 2011 년 3 월 3 일이후접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg :: Hexcmp :: Wireshark :: IDA Pro

1.4. 패턴버전및업데이트로그 - 패턴버전 :: 2011.03.06.01 - 패턴업데이트로그 2011년 3월 3일 02번째긴급업데이트 ( 23시 20분경완료 ) Trojan/W32.Dllbot.40960 Trojan/W32.Dllbot.46432 Trojan/W32.Dllbot.71008 2011년 3월 4일 01번째긴급업데이트 ( 01시 00분경완료 ) Trojan/W32.Agent.10240.OO Trojan/W32.Agent.11776.OF 2011년 3월 4일 02번째긴급업데이트 ( 11시 00분경완료 ) Trojan/W32.Agent.118784.ACE Trojan/W32.Agent.131072.YG 2011년 3월 4일 03번째긴급업데이트 ( 11시 30분경완료 ) Trojan/W32.Agent.20480.AZR Trojan/W32.Agent.11776.OG 2011년 3월 4일 04번째긴급업데이트 ( 17시 15분경완료 ) Trojan/W32.Agent.126976.XY Trojan/W32.Agent.16384.ALF 2011년 3월 4일 05번째긴급업데이트 ( 18시 30분경완료 ) Trojan/W32.Agent.42320 Trojan/W32.Agent.46416.B 2011년 3월 4일 06번째긴급업데이트 ( 22시 20분경완료 ) Trojan/W32.Agent.24576.BGE Trojan/W32.Agent.10752.PI 2011년 3월 5일 02번째긴급업데이트 ( 12시 30분경완료 ) Trojan/W32.Agent.77824.AMN Trojan/W32.Agent.71000.B Trojan/W32.Agent.13312.MD Trojan/W32.Agent.36864.BZN 2011년 3월 5일 03번째긴급업데이트 ( 13시 15분경완료 ) Trojan/W32.Agent.27648.OV 2011년 3월 6일 01번째긴급업데이트 ( 14시 30분경완료 ) Trojan/W32.Agent.16384.ALI Trojan/W32.Agent.16384.ALJ Trojan/W32.Agent.24576.BGF Trojan/W32.Agent.57948.C

2. 악성코드분석 2.1. 전체시나리오 [ 그림 1. DDoS 전체동작시나리오 ] - 웹하드업체의설치모듈이나업데이트모듈이존재하는서버를해킹한이후공격자가정상모듈을동일명칭의악성다운로드모듈로변경한다. 변경된모듈은사용자가웹하드업체관련프로그램을실행할경우웹하드로부터악성파일을다운로드후감염시키며좀비 PC의역할을수행해함께생성되는 data파일내에기록된 URL로 DDoS 공격을수행한다. 또한함께다운로드되는악성파일에의해사용자 PC를파괴하는동작 ( MBR 파괴및특정확장자파일삭제 ) 을수행한다.

2.2. 정밀분석 [ 그림 2. 파일간의동작과정 ] - 웹하드관련실행파일이동작해웹하드서비스업체의서버로부터악성파일을다운로드받은후동작되면추가로악성코드를다운받아설치한후 DDoS 공격, MBR 파괴및특정파일삭제동작을하는악성파일을생성한다. 또한안티바이러스업체의업데이트를방해하기위해 hosts 파일을변조한다.

2.2.1. SBUpdate.exe - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: SBUpdate.exe (10KB), SBUpdate.exe (12KB) 3월 4일 4차샘플 :: bobo.exe (12KB ), filecity.exe ( 20KB ) 3월 5일 9차샘플 :: ZIOFILE.exe ( 13KB ), newsetup2.exe ( 27KB ) 3월 6일 10차샘플 :: jzsltpcy.exe ( 16KB ), [ 임의의파일 ].exe( 57KB, 16KB ) - 동작 사용자 PC 정보유출 ( PC 및도메인명등 ) Anti-Monitoring 함수명 :: FindWindowA( ) 비교문자열 PROCMON_WINDOW_CLASS 18467-41 흔적제거 자체삭제 Batch 파일실행 Cache 파일제거 함수명 :: DeleteUrlCacheEntryA( ) 대상 URL :: hxxxxxp://sub.sharebox.co.kr/sbupdate.exe 1) 사용자 PC 정보유출 [ 그림 3. 사용자정보유출 ] - 사용자 PC 의기본정보 ( 도메인명등 ) 을확인한후 Send( ) 를통해원격지에전달 한다. 감염 PC 에대한정보수집이목적인것으로추정된다.

2) Anti-Monitoring [ 그림 4. Monitor Tool 체크 ] - 특정모니터링툴이동작하고있는지 FindWindowA( ) 를통해서윈도우의 class를얻어와특정 class 명과비교한다. 특정문자열과동일할경우모니터링으로간주해추가동작을수행하지않고삭제동작으로수행한다.

3) 흔적제거 [ 그림 5. 자체삭제동작 ] - Batch 파일을통해최초숙주로추정되는 SBUpdate.exe 파일과삭제동작을수행 하는 batch 파일을제거한다. [ 그림 6. Url Cache 삭제 ] - 함수 DeleteUrlCacheEntryA( ) 를통해최초다운로드된 URL 과관련된 Cache 를제 거한다. 이는최초유포지를확인하기어렵게하기위함이다.

2.2.2. Host.dll - 접수일자및변종샘플 ( 추정 ) 3월 4일 3차샘플 :: Host.dll ( 116KB ), ntcm63.dll ( 128KB ) 3월 5일 9차샘플 :: svki65.dll ( 76KB ) - 동작 파일 Drop 및서비스등록 [Random]svc.dll ( 예 :: mltisvc.dll ) 관련파일 :: faultrep.dat [Random]svc.dll ( 예 :: watrsvc.dll ) 관련파일 :: tlntwye.dat [Random]svc.dll ( 예 :: sisosvc.dll ) 관련파일 :: noise03.dat 공격지목록파일 Drop Tljoqgv.dat 업데이트방해 1) 파일 Drop 및서비스등록 [ 그림 7. 서비스등록부분 ] - 각기능별로나눠진악성코드및악성코드별 Data 파일을생성해서비스로등록해 재부팅후에도동작이가능하도록한다.

2) 업데이트방해 [ 그림 8. Hosts 파일변조부분 (1) ] - 이전 7.7 DDoS 대란처럼안티바이러스업체의 Update 경로를방해하며이를위 해사용자 PC 의 hosts 파일을 [ 그림 8] 과같이변조한다. [ 그림 9. hosts 파일변조부분 (2) ]

3) 공격지목록파일 Drop ( 40개 URL 존재 ) - 공격대상 naver.com // daum.net // auction.co.kr // hangame.com dcinside.com // gmarket.co.kr // cwd.go.kr // mofat.go.kr nis.go.kr // unikorea.go.kr // assembly.go.kr // korea.go.kr dapa.go.kr // police.go.kr // nts.go.kr // customs.go.kr mnd.mil.kr // jcs.mil.kr // army.mil.kr // airforce.mil.kr navy.mil.kr // usfk.mil // dema.mil.kr // kunsan.af.mil kcc.go.kr // mopas.go.kr // kisa.or.kr // ahnlab.com fsc.go.kr // kbstar.com // wooribank.com // hanabank.com keb.co.kr // shinhan.com // jeilbank.co.kr // nonghyup.com kiwoom.com // daishin.co.kr // korail.com // khnp.co.kr - 1 차접수샘플과 3 차접수샘플에의해생성된공격지 URL 은동일하다. - 9 차접수샘플에의해생성된공격지 URL 은다음과같다. cwd.go.kr // kbstar.com

2.2.3. sfofsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: sfofsvc.dll ( 46KB ) 3월 4일 3차샘플 :: sisosvc.dll ( 46KB, Host.dll이생성하는동일샘플 ) - 동작 MBR 파괴 특정확장자파일삭제 1) MBR 파괴 [ 그림 10. MBR 파괴 ] - MBR 을가리키는물리디스크의첫번째 Sector 를 Hex 0x00 으로채워파괴한다. 이전 7.7 DDoS 와다르게복구정보를저장하지않아복구가불가능하다. [ 그림 11. 동작시간확인부분 ] - MBR 파괴동작시간은함께동작하는 noise03.dat 파일의정보를기준으로구분된다. [ 그림 9] 와같이 2011년 3월 4일 11시 40분 20초이후일경우만동작이수행된다.

[ 그림 12. MBR 파괴동작부분 ] - 3월 6일접수된신규샘플의경우 dat 파일에등록된시간을확인하지만시간과상관없이무조건동작하는부분이포함되어있다. 따라서특정일자에 MBR을파괴하도록했던기존 7.7 DDoS 샘플및최초접수되었던샘플과차이가있다. [ 그림 13. MBR 파괴이후발생하는 BSOD ] - MBR 이파괴된경우위와같은 BSOD 가발생하는것을확인하였다.

따라서 MBR 파괴에따른문제에대한조치를위해자사블로그의내용을참고하기 바란다. 블로그 :: http://erteam.nprotect.com/133 2) 특정확장자파일삭제 [ 그림 14. 확장자비교부분 ] [ 그림 15. 압축된파일후정상파일제거확인 ]

- ( 윈도우폴더 ) 및 ( 프로그램파일폴더 ) 를제외한모든폴더를확인하면서모든파일 의확장자를확인후일치하는확장자의경우파일을 cab 으로압축한후 cab 파일 내의데이터는파일크기만큼 Hex 0x00 으로채우고정상파일은삭제한다. - 삭제대상확장자.doc //.docx //.docm //.wpd //.wpx.wri //.xls //.xlsx //.mdb //.ppt.pptx //.pdf //.hwp //.hna //.gul.kwp //.eml //.pst //.alz //.gho.rar //.php //.asp //.aspx //.jsp.java //.cpp //.h //.c //.zip

2.2.4. wsfcsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: wsfcsvc.dll ( 40KB ) 3월 4일 3차샘플 :: watrsvc.dll ( 40KB, Host.dll 이생성하는동일샘플 ) 3월 5일 9차샘플 :: wtvtsvc.dll ( 36KB, svki65.dll 이생성하는동일샘플 ) - 동작 DDoS 공격수행 기법 :: UDP 공격, ICMP 공격, CC 공격 1) DDoS 공격수행 - UDP 공격 [ 그림 16. UDP 공격패킷 ] - ICMP 공격 [ 그림 17. ICMP 공격패킷 ]

- CC 공격 [ 그림 18. CC 공격패킷 ] - 하나의공격대상에대해 3 가지공격을모두수행하는형태를갖고있으며 공격기법을나누는조건은별도로없었다. 2) 공격시간확인 [ 그림 19. DDoS 공격시간관련 ] - Dat ( tlntwye.dat ) 파일내에공격시간과관련된정보를갖고있다. 해당 dat 파일은 DLL 파일을생성하는숙주 ( 접수된샘플중 Host.dll ) 가생성하며현재 3월 4 일 6시 30분에공격이되도록설정되어있다.

2.2.5. meitsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: meitsvc.dll ( 70KB ) 3월 4일 3차샘플 :: mltisvc.dll ( 70KB, Host.dll이생성하는동일샘플 ) 3월 5일 9차샘플 :: messsvc.dll ( 70KB, svki65.dll이생성하는동일샘플 ) - 동작 원격지연결및파일다운로드 [ 그림 20. 원격지서버접속시도 ] - 원격지서버에연결해파일다운로드가예상되나현재서버접근차단으로인해정확한동작은확인되지않았다. - 연결서버 IP 208.xxx.xxx.242:443 212.xxx.xxx.211.443 59.xxx.xxx.43:443 120.xxx.xxx.10.443 203.xxx.xxx.244:443 210.xxx.xxx.228:53 147.xxx.xxx.216:443 59.xxx.xxx.11.443 212.xxx.xxx.42:443 63.xxx.xxx.71:443-9차접수샘플의연결서버 IP 131.xxx.xxx.163:12236 57.xxx.xxx.48:64 80.xxx.xxx.136:16416 69.xxx.xxx.8:2448 224.xxx.xxx.232:815 89.xxx.xxx.139:59493 224.xxx.xxx.48:64

57.xxx.xxx.48:64 80.xxx.xxx.144:16416 29.xxx.xxx.64:29952

2.3. 진단치료 - 패턴버전 :: 2011.03.06.01 [ 그림 21. 진단 / 치료화면 ] - 전용백신다운로드경로 http://avs.nprotect.net/freeav/nprotecteavdllbot.com