오랜만에 malwr.com에서 1.exe, 악성코드가 흔히 사용할 것으로 추정되는 파일을 다운 받아 단순 실행만 해본 결과 파밍 서버의 DNS로 www.naver.com.kio를 사용하는 것으로 확인되었다. 아마 이건 변종일테고, www.naver.com.[임의의 숫자 혹은 공격자 의도에 따른 문자열] 형태가 되지 않을까 생각이 들었다.
snort : alert tcp any any -> any 80 (msg:"Possible Malicious Pharming Host"; flow:to_server; content:"Host: www.naver.com.kio"; sid:0;)
md5 : 746267eb8efade353b0c82e6d62e5d4b
출처 : malwr.com
교육 중 심심해서 악성 코드 유포 중 특이한 것이 있나 한 번 살펴보았다.
45.32.40.87 (JP)를 통한 악성 코드 유포가 8월 중순 경부터 유포가 되는 것으로 확인이 되고 있나보다.
관련 도메인으로는 딱봐도 악성으로 보이는 dd0s3r.zapto.org이다. zapto.org는 무료 DDNS 서비를 운영하는 사이트로 악성 코드 제작자, 특히 백도어 악성 코드가 주로 사용하는 웹 사이트이다. 또한 도메인 이름을 딱 보면, dd0s... ddos?를 떠올릴 수 있는 영문자가 도메인 이름에 포함되어 있다.
[virustotal 참고]
해당 악성코드 자체 특징으로는 음, 특이한 섹션 이름이 존재한다는 것 (1H8CPPWK)
하나의 악성코드의 섹션 이름만으로 특정 악성 코드 그룹을 찾거나 추측하는 것은 어려울 수 있으나 이것이 쌓이고 쌓이다보면 쓸만한 데이터가 될 수가 있다.
[virustotal 참고]
파일 자체 속성 값을 봐보자, 한국어 및 KaKao 회사를 확실하게 입력하여 파일을 제작하여 의심을 없앨 수 있도록 한 것을 확인할 수 있다.
[Virsutotal 참고]
Skype는 영문으로 제작되어 있다고 되어 있음.
실제로 분석 및 확인하고 싶으나 분석 환경이 되지 못해 아쉽다.
일반 사용자들이 많이 사용하는 특정 업체에서 제작된 파일로 위장한 악성 코드이니 만큼 정보 탈취 및 모니터링/제어 등의 행위를 하지 않을까 우려된다.
KaKaoTalk.zip
보안 관리자로서 할 수 있는 것은 우선 45.32.40.87 유포지가 8월 중순부터 9월 초까지 지속적으로 이용되고 있는 바, 블랙리스트로 관리할 수 있는 방안을 고려해봐야할 듯 하며, zapto.org 등 무료 DDNS 서비스와 주기적인 통신을 맺는 호스트 관리가 필요할 것으로 보인다. 또한, kakaotalk.exe, skype.exe 등 정상 서비스로 알려진 인기 있는 프로그램들은 가능한한 정상 경로로 다운로드 받는 경우를 제외하고는 차단 혹은 알람을 할 수 있는 건 어떨까 생각이 된다. (snort라든지..)
2014년부터 확인된 ProxyBack 악성 코드로 감염 시에 외부 공격자 서버와 통신을 하게 되며
Proxy로 이용될 가능성이 존재한 것으로 확인
http://researchcenter.paloaltonetworks.com/2015/12/proxyback-malware-turns-user-systems-into-proxies-without-consent/
https://www.virustotal.com/ko/ip-address/185.130.7.15/information/
http://pastebin.com/KMpcBkaA
HTTP 웹서버를 통해 C&C 통신, ID 할당
https://www.hackread.com/proxyback-malware-can-convert-your-pc-into-proxies/
#ProxyBack
최근 블로그에 유입되는 키워드 중에 neshta라는 문자열이 상위 랭크에서 확인이된다.
이에 모든 neshta에는 해당하지 않겠지만, 특정 샘플을 확인하여 조치할 수 있는 방법에 대해 기재해보고자 한다.
우선, C:\Windows\svchost.com라는 파일이 생성되는데, 이 파일을 삭제해야 한다. 또한 directx.sys도 삭제해줘야 하겠다.
그리고 %APPDATA% 하위에 존재하는 악의적인 파일을 삭제한다.
그리고 C:\Windows\system32\Java라는 폴더가 "숨겨진" 상태로 존재하는데, 해당 폴더에 위치한 파일을 삭제한다.
위 그림 파일들을 너무 정상 파일 같아서, 악성 파일이라고 여겨지지 않을 수 있다. 하지만, 해당 파일이 확인된다면 반드시 삭제해주어야 하겠다.
그리고 프로세스 모니터를 보면, 아래와 같이 java-update.exe가 notepad.exe를 실행 시켜, 악의적인 행위를 진행한다. 따라서 해당 프로세스를 강제 종료하도록 해야한다.
추가적인 확인 결과, 확보한 악성 코드는 외부 공격자로부터 원격으로부터 조종 받을 수 있는 환경을 제공하므로, 각별한 주의가 필요하다.
------------------------------------------------------------------------------------------------------------------
이 글을 쓴 위에 해당 악성 코드가 외부와 통신 시에 Darkcomet RAT에서 생성한 악성 코드 임을 확인하였으며
앞서 이야기한 파일들이 본인 PC에 있을 경우, 반드시 삭제해야한다.
#Darkcomet #Neshta
