Red Alert Malware Report

Similar documents
ActFax 4.31 Local Privilege Escalation Exploit

*2008년1월호진짜

Windows 8에서 BioStar 1 설치하기

ActFax 4.31 Local Privilege Escalation Exploit

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Microsoft Word - src.doc

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

!K_InDesginCS_NFH

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Windows Server 2012

Secure Programming Lecture1 : Introduction

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Endpoint Protector - Active Directory Deployment Guide

Install stm32cubemx and st-link utility


ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

TGDPX white paper

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

01장

6강.hwp

BEA_WebLogic.hwp

PowerPoint Template

chapter4

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

CPU 점유율이 100%시 대처방법

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

System Recovery 사용자 매뉴얼

신종파밍악성코드분석 Bolaven

<%DOC NAME%> User Manual

행자부 G4C

07_alman.hwp

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Cloud Friendly System Architecture

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

CODESYS 런타임 설치과정

User's Guide Manual

Microsoft Word - Armjtag_문서1.doc

NTD36HD Manual

Interstage5 SOAP서비스 설정 가이드

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

PowerPoint 프레젠테이션

ODS-FM1

tiawPlot ac 사용방법

슬라이드 1

4S 1차년도 평가 발표자료

gcloud storage 사용자가이드 1 / 17

Studuino소프트웨어 설치

PowerPoint 프레젠테이션

No

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

IRISCard Anywhere 5

MF Driver Installation Guide

화판_미용성형시술 정보집.0305

MF5900 Series MF Driver Installation Guide

PowerPoint 프레젠테이션

Sena Device Server Serial/IP TM Version

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

TTA Journal No.157_서체변경.indd

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

목차 Q-1. 데이터를 통한 음성통화가 되지 않습니다 Q-2. WiFi 연결이 안됩니다 Q-3. 인터넷 또는 네트워크 연결이 안됩니다 Q-4. 표준 부속품을 알려주시기 바랍니다 Q-5. 구입하였습니다만, 배터리는 어떻게 장착하

ìœ€íŁ´IP( _0219).xlsx

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

Microsoft PowerPoint - 권장 사양

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

1217 WebTrafMon II

Slide 1

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

rmi_박준용_final.PDF

C. KHU-EE xmega Board 에서는 Button 을 2 개만사용하기때문에 GPIO_PUSH_BUTTON_2 과 GPIO_PUSH_BUTTON_3 define 을 Comment 처리 한다. D. AT45DBX 도사용하지않기때문에 Comment 처리한다. E.

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

ZConverter Standard Proposal

PowerPoint 프레젠테이션

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

thesis

*금안 도비라및목차1~9

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

최종_백서 표지

*금안14(10)01-도비라및목차1~12

Xcovery 사용설명서

untitled

MAX+plus II Getting Started - 무작정따라하기

UDP Flooding Attack 공격과 방어

CLX8380_KR.book

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

오프라인 사용을 위한 Tekla Structures 라이선스 대여

디지털포렌식학회 논문양식

슬라이드 1

제품소개 이매뉴얼은빅솔론프린터제품을 ios 환경에서사용할수있는유틸리티에대해서기술되어있습니다. 제품을새로구입하신분들은사용전에이설명서에있는내용을주의깊게읽어보시기바랍니다. 저희 ( 주 ) 빅솔론은제품의기능과품질향상을위하여지속적인개선을하고있습니다. 이로인하여제품의사양과매뉴얼의

Transcription:

NSHC 2014. 11. 17 악성코드분석보고서 [ 인터넷뱅킹메모리해킹 ] 인터넷뱅킹파밍용악성코드가지속적으로배포되고있습니다. 해당악성코드는우리은행, 외환은행, 농협의인터넷뱅킹공인인증서에관련된 ActiveX모듈의메모리를변조하며, 기존보고되었던악성코드기능에추가적으로 Bitcoin Minor 등의기능이추가되었습니다. 감염이의심되는시스템에서는대응방안에따른조치와백신을통한치료가필요합니다. Information Service about a new vulnerability Version 1.0 External 2014 Red Alert. All Rights Reserved.

목차 1. Malware Stub...2 2. Technical Details...7 3. Opinion of Red Alert... 12 4. Removal Recommendations... 12 5. Reference... 14 facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 1

Confidentiality Agreements 본문서는 Red Alert 팀에서작성한분석보고서로써, Red Alert 팀허가없이배포및공유가 가능하나수정은금합니다. 분석보고서는 Red Alert 팀에서운영하는 Facebook 페이지 (https://www.facebook.com/nshc.redalert) 에서확인할수있습니다. Facebook 에등록되는분석보고서를포함한이외의자료들은프리미엄서비스인 isac 페이지 (https://isac.nshc.net) 에서제공받으실수있습니다. facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 2

1. Malware Stub Malware Name E41C30E6F394B76905432BB71DCDE05B.exe File Size 732,342 Byte MD5 E41C30E6F394B76905432BB71DCDE05B Compiled Date 1976.09.27 05:45:12 Etc Main Module Table 1. File Info-1 Malware Name A1.zip File Size 19,968 Byte MD5 90AFFACB3C4F110BA63DF2BE93F2E41A Compiled Date 2008.04.14 11:27:28 Etc N/A Table 2. File Info-2 Malware Name B1.zip File Size 19,456 Byte MD5 0B14DFD82A538CF8933435397DBC4925 Compiled Date 2008.04.14 11:27:38 Etc N/A Table 3. File Info-3 Malware Name C1.zip File Size 18,944 Byte MD5 6DDF2D7E4F60752B9832B574F4198428 Compiled Date 2008.04.14 11:26:13 Etc N/A Table 4. File Info-4 Malware Name D1.zip File Size 18,944 Byte MD5 743CAC2A53BA132D086853141246D7D7 Compiled Date 2008.04.14 11:12:51 Etc N/A Table 5. File Info-5 Malware Name doit.rar File Size 732,342 Byte MD5 E41C30E6F394B76905432BB71DCDE05B Compiled Date 1976.09.27 05:45:12 Etc N/A Table 6. File Info-6 facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 3

Malware Name 09d8ab85.sys File Size 22,848 Byte MD5 DDC027DCA198D4A4C8F3FDB24805CD30 Compiled Date 2014.10.26 14:30:24 Etc Drivers Table 7. File Info-7 Malware Name 75739e03.sys File Size 11,264 Byte MD5 1A969B91339A754AA81115752828CC4F Compiled Date 2014.10.25 00:46:39 Etc Drivers Table 8. File Info-8 Malware Name [RndName].dll File Size 7,864,320 Byte MD5 6141956C29263D7E043F02A39B46F34F Compiled Date 2014.10.26 18:00:28 Etc %TEMP% Table 9. File Info-10 Malware Name [RndName].dll File Size 7,864,320 Byte MD5 ADA277C99CC66BD169AFD59A07C28F2B Compiled Date 2014.10.26 18:00:28 Etc %TEMP% Table 10. File Info-11 Malware Name ahnmove.bat File Size 118 Byte MD5 DAD9604A9D9B5C7FDE5827E3BC8A5ADC Compiled Date N/A Etc Self-Delete Batch File Table 11. File Info-12 Index Description OS Windows XP SP3 KOR Browser Windows Internet Explorer 8 Table 12. Analysis Environment facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 4

악성코드감염시접속하는 C&C 서버정보입니다. - hxxp://66.**.***.146/ Figure 1. IP Info-1 Figure 2. IP Info-2 facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 5

악성코드가시스템에감염되면감염된시스템정보를 C2C서버에전송하여시스템을등록시킵니다. - mac = 암호화된맥주소 - os = 운영체제버전 - avs = 검색된프로세스이름 avp.exe ayagent.aye v3ltray.exe avgnt.exe AvastSvc.exe Mctray.exe msseces.exe ekrn.exe ccsvchst.exe bdagent.exe avgwdsvc.exe dnf.exe maplestory.exe - ps = dnf.exe 존재여부 - ver = 악성코드버전 - pnum = 현재실행중인프로세스개수 Figure 3. Initial connection facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 6

2. Technical Details 특정 FTP 서버에접속하여 Bitcoin Minor 프로그램을다운받습니다. - Address : ftp://98.***.**.68 - Username : xxoo - Password : 123456 - Path : /test/ Figure 4. FTP Server Info 아래경로에비트코인관련된키가존재하는지확인합니다. Figure 5. Registry Check strdatadir 키가존재할경우해당키의데이터에해당하는경로에 wallet.dat 이름으로마이너 프로그램을다운받아실행시킵니다. Figure 6. Download to wallet.dat facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 7

가상머신의하드디스크이름을레지스트리에서찾아가상머신을특정하는문자열을찾는방법으 로가상머신을탐지합니다. - HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum Figure 7. Registry Check strstr 함수를이용해문자열이있는지확인합니다. Figure 8. Search to String 가상머신으로특정짓는문자열은아래와같습니다. - Virtual - Vmware - vbox Figure 9. Virtual Machin Detection facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 8

V3Lite, Alyac, 네이버백신등국내에서주요사용되는백신들에대해탐지를하며, 악성코드가 동작하는동안지속적으로탐지를합니다. 탐지를위한주요로직은프로세스이름을기반으로 PID 를획득하여 Terminate 시키는방법과 WM_QUIT 메시지를이용한프로세스종료가있습니다. Figure 10. Terminate AV Process 탐지대상이되는백신프로세스와윈도우이름은아래와같습니다. 1. Terminate 방식 01015330 01015A54 ASCII "AYAgent.aye" 01015334 01015A44 ASCII "AYUpdSrv.aye" 01015338 01015A38 ASCII "AYRTSrv.aye" 0101533C 01015A2C ASCII "V3LSvc.exe" 01015340 01015A20 ASCII "V3LTray.exe" 01015344 01015A14 ASCII "Nsvmon.npc" 01015348 01015A08 ASCII "Nsavsvc.npc" 0101534C 010159F8 ASCII "NaverAgent.exe" 01015350 010159EC ASCII "ASDsvc.exe" 01015354 010159E0 ASCII "V3Lite.exe" 2. WM_QUIT 방식 010153B8 01015848 ASCII "Tray Application" 010153BC 01015840 ASCII "V3 Lite" 010153C0 01015954 ASCII "AhnLab" Table 13. Detection Target List facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 9

V3 제품과알약제품에대해서는관련드라이버언로드및서비스삭제를이용해추가적인탐지작 업을진행합니다. V3 제품의경우드라이버의심볼릭링크를확인하여존재여부를확인합니다. - \\.\v3engine Figure 11. Get Driver Handle 드라이버가확인되면서비스중지및삭제작업을진행합니다. Figure 12. Delete Service 알약드라이버의경우필터라이브러리를이용하여대상드라이버를언로드시킵니다. Figure 13. Driver Unload facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 10

WFP(Windows File Protection) 무력화와 takeown, icacls 를이용한권한변경을통해윈도우시스 템폴더에있는 wshtcpip.dll 파일을교체합니다. takeown 과 icacls 를이용해대상파일의권한을변경합니다. Figure 14. Takeown SFC_OS.dll 의 ordinal 5 함수를이용해대상파일에대해 1 분간 WFP 를무력화합니다. Figure 15. Bypass WFP WFP 가무력화된파일은이름을변경시켜백업하며, %TEMP% 에있는악성코드를복사하는방법 으로파일교체가이루어집니다. Figure 16. Backup Figure 17. Copy to Malicious File facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 11

3. Opinion of Red Alert 인터넷뱅킹파밍공격은메모리변조, Host파일변조등다양한유형의공격기법을이용해지속적으로공격이이루어지고있습니다. 메모리변조악성코드의경우시스템감염방식이다른방법으로업데이트가되었고메모리를변조하는방법은 1월에보고된 Internet Bank Phishing - ActiveX 문서를 (5.2 항목 ) 참고하시기바랍니다. 또한해당악성코드는 10월에보고된 변종 Gh0st RAT 에서사용되는루트킷드라이버를사용하는것으로미루어보아같은조직에서제작된악성코드인것으로판단됩니다. 4. Removal Recommendations 윈도우탐색기의폴더옵션에서 보호된운영체제파일숨기기 ( 권장 ) 체크박스의체크를해제하시고 숨김파일및폴더표시 의라디오버튼을클릭하여적용한뒤아래경로의파일을삭제하시기바립니다. - %TEMP%\A1.zip - %TEMP%\B1.zip - %TEMP%\C1.zip - %TEMP%\D1.zip - %TEMP%\[RndName]\doit.rar - %TEMP%\[RndName].dll or safemon.dll - HKCR\CLSID\SYS_DLL의 name키에해당하는 Dll Name(%TEMP%) - %SYSTEMROOT%\system32\wshtcpip.dll 윈도우레지스트리편집기를이용하여악성코드관련레지스트리를삭제합니다. - HKEY_CLASSES_ROOT\CLSID\HOOK_ID Value : name - HKEY_CLASSES_ROOT\CLSID\SYS_DLL Value : name - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\09d8ab85 하위키모두삭제 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\75739e03 하위키모두삭제 facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 12

루트킷탐지툴을이용하여드라이버를삭제한후재부팅하기바랍니다. - File Name 1# : 09d8ab85.sys - File Name 2# : 75739e03.sys - Kernel Detective : http://www.at4re.com/news.php Figure 18. Delete Drivers Reference. [1] Virus Total 을참고하여해당악성코드를치료할수있는 Anti-Virus 제품을이용하 여시스템정밀검사를진행하시기바립니다. facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 13

5. Reference [1] Virus Total https://www.virustotal.com/ko/file/0aa8e8011462b3f2fee08b3788ab18301c3b169543387f338 98cdddf4cc5a1dc/analysis/ [2] RedAlert Report - 20140129_Internet_Bank_Phishing_-_ActiveX_Ver_External.pdf http://goo.gl/uwylp1 [3] RedAlert Report - 20141029_ 변종 _Gh0st_RAT_Ver_1.0_External.pdf http://goo.gl/6t4div facebook.com/nshc.redalert 2014 Red Alert. All Rights Reserved. 14