참고 : http://www.virusradar.com/en/Win32_Brolux.A/description
http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2015-101522-0744-99
악성 코드는 시작 프로그램 등록 및 외부 서버와 통신 후, tmp 하위에 title.txt, url.txt 생성
title.txt에는 브라우저 접속 시 (IE, chrome) 확인되는 title이며, url.txt의 경우 일본 금융사의 URL이 적혀있음
감염 시스템 사용자가 브라우저를 이용하여 일본 금융사 웹 서비스 이용 시, title 값 및 url 값 비교하여 매칭 되었을 경우, 특정 서버로 정보를 탈취하는 것으로 확인
과거 2015년 10월 부터 존재했을 것으로 판단
2015년 12월 malwaremustdie에서 확인/분석한 kdefend라고 명명된 리눅스 악성 코드는 초기 접속 시, china라는 이름과 함께 cpu 정보를 전송하는 것으로 파악되며, 메모리 정보도 같이 전송하는 것으로 보인다.
다만, 앞서 이야기한 china 문자열이 항시 고정적인지,, 그리고 아래 블로그에서 확인가능한 %d나 %s, %u에 값이 들어가지 않고, 상시 포맷 값을 받는 형태로 쓰이는지는 악성 코드 샘플 확보 후, 확인이 필요하다.
kdefender 리눅스 악성 코드 공격의 시작은 다른 리눅스 악성 코드의 시작과 유사하게 특정 시스템의 권한 탈취에 의한 것으로 판단된다. 이를 위해서는 SSH Brute force, Shellshock 등의 알려진 취약점 및 신규 취약점을 이용할 것으로 판단된다.
이후 해당 시스템에 알맞은 악성 코드를 다운로드 받아 실행될 것으로 보인다.
샘플 확보가.. 어렵다..
source : http://blog.malwaremustdie.org/2015/12/mmd-0045-2015-kdefend-new-elf-threat.html
위 블로그 내용을 더 살펴보면 사용되는 주요 공격 모듈의 이름을 확인할 수 있다. UdpLitenThread, DDosSock_Init 등이 그것이다. 또한 초기 접속 시 사용되는 감염 시스템의 정보는 NetPPS, CPUUsage 모듈을 이용하여 수집하는 것으로 확인된다고 하며, ifconfig에 의해 출력되는 결과물을 grep을 통하여 파싱하는데 이 때, 확인된 악성 코드에서는 해당 grep 명령어가 실행될 수 없는 형태로 실행되어 있음에 정상적으로 정보를 전송하지 못하고 있음을 확인하였다. 이에 블로그 분석가는 이 악성 코드 제작자가 아마추어가 아닌가 판단하고 있다.
188.138.xx.xx/3903fd9643c130e5ac037c69a803beda 와 같이 특정 서버의 리얼 IP를 기반으로 랜섬웨어를 유포하는 정황이 다시 확인되나, 수동으로 파일 다운로드 시도 시, 다운로드 되지 않는다.
우찌 샘플 확보를 못하려나.
1. C:\Windows\directx.exe 생성
2. 1 경로 시작 프로그램 등록
3. 특정 파일 확장자 검색 (mask.php post 전송 후, response 되는 값에서 확인 가능, HTTP 통신 이후에 악의적인 행위 발생 가능성)
4. 조건에 맞는 확장자 확인 시, AES Key 생성 및 암호화
- 암호화 되는 과정 중에 Shadow Volume Copy 삭제하는 행위 진행
- 암호화 이후, YOUR_FILES.url 파일 생성하는 특징
현재까지 확인된 IoC
- %Desktop%\YOUR_FILES.url
- C:\Windows\directx.exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost C:\Windows\directx.exe
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost C:\Windows\directx.exe
- .rrk 확장자 (nocase)