'공부/악성코드 / 취약점 관련' 카테고리의 글 목록 (9 Page)

공부/악성코드 / 취약점 관련

Bash 취약점을 이용한 ChinaZ 공격 그룹의 악성 코드 유포는 지속

johnst 2015. 7. 21. 11:06

2015. 7. 21. 11:06

Bash 취약점을 이용한 공격이 지속적으로 확인됨을 확인할 수 있다.

Bash 취약점을 이용하기 위한 악의적인 문자열 () { :; }; 이후에 wget을 이용하여 특정 공격자 HFS 웹 서버에 접속하여 악성 코드를 다운로드 한다.

악성 코드는 IptabLes(x) 유형과 Billgates 유형 악성 코드로 확인된다.

해당 악성 코드는 분산 서비스 거부 공격을 유발시킬 수 있으므로, 이와 같은 공격 흐름에 대해 잘 인지하고 확인할 수 있도록 해야하겠다.

[일본 타겟] Hacking Team이 일본 사이트를 공략 (FireEye)

johnst 2015. 7. 20. 15:19

2015. 7. 20. 15:19

https://www.fireeye.com/blog/threat-research/2015/07/second_adobe_flashz.html

최종 실행되는 악성 코드는 Rdws.exe로 최근 국내에서 확인된 Rdws.exe와 이름이 동일하다. 따라서 1차적으로 Gh0st Bot으로 판단했으나 실제로 Gh0st Bot은 아니며, FE에서 분석/확인한 바로는 SOGU Variant를 가진 중국 발 악성 코드로 (Kaba로 알려졌다고 하네요) 확인되는 바, 이를 탐지할 수 있는 방안이 필요하다.

현재까지는 opmuert.org:443 을 이용하여 C&C HTTP 통신을 하는 것으로 파악되며, 특정 URI 값을 요청한다. 해당 값이 변경됨에 따라 요청 시마다 랜덤 혹은 특정 계산 값에 의해 발생하는 것으로 추정된다.

[FireEye] Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak

johnst 2015. 7. 20. 11:53

2015. 7. 20. 11:53

FireEye에서 Phishing 캠페인을 수행하는 중국의 조직, APT3, APT18 그룹이 CVE-2015-5119 ZeroDay 취약점을 이용하고 있다는 것이 확인하였다.

Adobe가 7월 8일에 취약점 패치를 내놓았지만 이전에 APT3, APT18 그룹은 이미 이메일을 통한 Phishing 캠페인을 수행하고 있음이 확인 되었으며, 그 대상은 Aerospace and Defense, Construction and Engineering, Energy, High Tech, Non-Profit, Tele-Communications, Transportation 등 다양한 산업 분야임이 확인되었다.

APT3의 Phishing 캠페인의 이메일 형태는 아래와 같다.

7월 8일 이후, 위의 3개의 도메인은 194.44.130.179로 모두 Resolve 되었으며 해당 URL은 JavaScript 및 악의적인 Adobe Flash File로 연결된다. 악의적인 Adobe Flash File은 난독화된 GIF 파일을 다운로드하는데, 해당 GIF 파일에는 SHOTPUT payload가 포함되어 있다. SHOTPUT은 DLL Backdoor로써 HTTP를 통해 C&C 통신을 할 것으로 예상되며, 파일 다운로드, 업로드, 프로세스 관리, 시스템 명령 수행, 시스템 정보 탈취 등의 행위를 진행할 것으로 추정된다. SHOTPUT은 또한 Backdoor.APT.CookieCutter로 탐지되며 (아마도 FireEye 장비에서) 아래와 같은 특정 문자열들이 악성 코드 내부에 하드 코딩 되어 있다.

- psa.perrydale[.]com

- link.angellroofing[.]com

- 107.20.255.57

- 23.99.20.198

APT3 그룹이 2014년 중반 이후로 ZeroDay를 이용한 것이 확인된 것은 이번이 3번째이다.

APT18의 캠페인의 이메일 형태는 아래와 같다.

이와 같은 메일 수신 후에 해당 URL을 클릭하게 되면, 악의적인 Adobe Flash(.swf) 파일을 다운로드하게 된다. Swf에 의해 해당 취약점이 Exploit 되면 Gh0st Bot이 수행되어 감염 PC의 정보 탈취 등의 악의적인 행위를 진행하게 된다. 해당 악성 코드에서 발생되는 C&C 통신을 확인해보면 아래와 같은 형태의 Traffic을 확인할 수 있다. 해당 Traffic은 Gh0st Protocol 규격을 따른 형태로 확인되며 특정 Flags (HTTP\1.1 Sycmentec)이후 8byte 떨어진 곳에 \x78\x9c라는 zlib 헤더 값을 확인할 수 있다.

다만 조금은 형태가 다른 부분이 확인되어 이에 대한 부분은 확인이 필요한 상황이다. 공격 그룹 (APT18)에 의해 그 프로토콜 포맷 형태가 다소 변형된 것을 유추해볼 수 있다.

FE에서는 APT3, APT18 모두 최근 취약점 트렌트 및 기법에 대해 지속적으로 찾고, 연구하여 이를 적용하고 있다라고 판단하고 있다. 현재 단순 메일 형태로 유포되고 있는 것이 확인되지만 DBD 및 기타 형태로의 유포를 주시하고 모니터링 해야하겠다.

[volexity] CVE-2015-5119 Adobe Flash 취약점을 이용한 RAT 유형 악성 코드 확인

johnst 2015. 7. 14. 09:17

2015. 7. 14. 09:17

http://www.volexity.com/blog/?p=158에서 Hacking Team에 의해 유출된 ZeroDay 취약점인 CVE-2015-5119를 이용한 RAT Bot 유형 (Gh0st 로 확인됨) 유포 정황 확인

메일 형태로 사용자에게 전송되며, 악의적인 HTML 페이지 접속을 유도하여 유포를 시도

Gh0st 통신 시 사용되는 zlib 압축 알고리즘이 확인되나 앞의 Flags 값의 변형이 확인된다.

일반적으로 Gh0st의 Flags는 (offset 0부터) Gh0st, A1CEA 등 주로 10byte 미만으로 확인되나 여기서 확인된 Flags는 "HTTP/1.1 Sycmentec"로 확인된다.

다만 Flags 뒤에 오는 d3 값은 10진수로 211인데, 이는 알고 있는 바로는 zlib 압축 해제 전의 payload 사이즈로 알고 있는데 이 값이 일치하지 않는다. 이에 대한 내용은 확인이 필요할 듯 하다.

PREV 이전 1 ···6 7 8 9 10 11 12 ···18 NEXT 다음

꿈 꾸는 사람