교육 중 심심해서 악성 코드 유포 중 특이한 것이 있나 한 번 살펴보았다.
45.32.40.87 (JP)를 통한 악성 코드 유포가 8월 중순 경부터 유포가 되는 것으로 확인이 되고 있나보다.
관련 도메인으로는 딱봐도 악성으로 보이는 dd0s3r.zapto.org이다. zapto.org는 무료 DDNS 서비를 운영하는 사이트로 악성 코드 제작자, 특히 백도어 악성 코드가 주로 사용하는 웹 사이트이다. 또한 도메인 이름을 딱 보면, dd0s... ddos?를 떠올릴 수 있는 영문자가 도메인 이름에 포함되어 있다.
[virustotal 참고]
해당 악성코드 자체 특징으로는 음, 특이한 섹션 이름이 존재한다는 것 (1H8CPPWK)
하나의 악성코드의 섹션 이름만으로 특정 악성 코드 그룹을 찾거나 추측하는 것은 어려울 수 있으나 이것이 쌓이고 쌓이다보면 쓸만한 데이터가 될 수가 있다.
[virustotal 참고]
파일 자체 속성 값을 봐보자, 한국어 및 KaKao 회사를 확실하게 입력하여 파일을 제작하여 의심을 없앨 수 있도록 한 것을 확인할 수 있다.
[Virsutotal 참고]
Skype는 영문으로 제작되어 있다고 되어 있음.
실제로 분석 및 확인하고 싶으나 분석 환경이 되지 못해 아쉽다.
일반 사용자들이 많이 사용하는 특정 업체에서 제작된 파일로 위장한 악성 코드이니 만큼 정보 탈취 및 모니터링/제어 등의 행위를 하지 않을까 우려된다.
KaKaoTalk.zip
보안 관리자로서 할 수 있는 것은 우선 45.32.40.87 유포지가 8월 중순부터 9월 초까지 지속적으로 이용되고 있는 바, 블랙리스트로 관리할 수 있는 방안을 고려해봐야할 듯 하며, zapto.org 등 무료 DDNS 서비스와 주기적인 통신을 맺는 호스트 관리가 필요할 것으로 보인다. 또한, kakaotalk.exe, skype.exe 등 정상 서비스로 알려진 인기 있는 프로그램들은 가능한한 정상 경로로 다운로드 받는 경우를 제외하고는 차단 혹은 알람을 할 수 있는 건 어떨까 생각이 된다. (snort라든지..)