https://www.hybrid-analysis.com/sample/caa7810a01ea2fd422cc68e5297e09ba7cce9d259fc746e5992fd6091c1f5f4e?environmentId=4


https://www.hybrid-analysis.com/sample/31c5a9bc9541af189f06a6eaeb3cf0043920c714cca7a81388c4e0af6e033043?environmentId=1


2010 - 2011

 - misdat backdoor

 - Initial Beacon이 base64 encode


2012

 - mis-type hybrid backdoor

 - misdat backdoor HTTP POST 통신 실패 시, 추가 HTTP 통신

 - misdat의 경우 User-Agent 및 data parameter에 base64 encode 값 (시스템 정보)


2013 - 2014

 - S-type backdoor

 - HTTP POST 통신, 앞선 HTTP POST 통신과 유사한 parameter 그대로 사용, data parameter에 Base64 encode 값 

 - 추가 HTTP GET Request 시도, URI parameter에 data 존재하며 해당 parameter에 Base64 Encode 값 


2014 - 2015

 - zlib backdoor

 - HTTP POST 패킷 전송, User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 으로 고정





저작자표시 비영리

https://www.google.co.kr/webhp?hl=ko&tab=ww#newwindow=1&hl=ko&q=cgi-bin+post.cgi+rovnix

https://www.hybrid-analysis.com/sample/86ba46b22c7f217d03100df507daa550456dc57fc2132f0f6fedb4da198a1693?environmentId=2


특정 서버로 POST ~~~~/post.cgi HTTP/1.0 전송하며, Body에는 아래와 같은 시스템 정보를 전송


POST /cgi-bin/251115/post.cgi HTTP/1.0


====================================================================================

[0]

LP=1

[2]

VID=3447292517

====================================================================================

[0]

ID=-- default --

LP=C:\Users\PSPUBWS\AppData\Local\Temp\L3447292517

[2]

D=0

OS=Windows 7 Home Premium Edition / Service Pack 1 / 64 bit

FS=NTFS

VID=3447292517

[1]

ID=

D=10.12.2015

T=06:39:39

CPID=568

CFN=C:\Users\PSPUBWS\AppData\Local\Temp\dhl invoice.exe

PPID=1920

PFN=DHLnx__dhl_wfdp_.scr.exe

CDR=C:\Users\PSPUBWS\AppData\Local\Temp

CUSR=PSPUBWS-PC\PSPUBWS

EUSR=PSPUBWS-PC\PSPUBWS

LVL=HIGH

[3]

E=1

====================================================================================

[0]

ID=-- default --

LP=C:\Users\PSPUBWS\AppData\Local\Temp\L3447292517

[2]

D=0

OS=Windows 7 Home Premium Edition / Service Pack 1 / 64 bit

FS=NTFS

VID=3447292517

[1]

ID=

D=10.12.2015

T=06:39:39

CPID=568

CFN=C:\Users\PSPUBWS\AppData\Local\Temp\dhl invoice.exe

PPID=1920

PFN=DHLnx__dhl_wfdp_.scr.exe

CDR=C:\Users\PSPUBWS\AppData\Local\Temp

CUSR=PSPUBWS-PC\PSPUBWS

EUSR=PSPUBWS-PC\PSPUBWS

LVL=HIGH

[3]

E=1

OS=6.1 [7601,2]

[7]

ALD=1,0

ASD=1,0

BSD=1,0

[8]

CF=1,0

RO=1,0,0

RS=1,0

[4]

BKI=1


http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/tspy_rovnix.ypob


.{1,100}\/cgi\-bin\/.{1,10}\/post\.cgi

-- default --

pqqdrfqqnq

TTGU\DVPDU


저작자표시 비영리

http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2

http://phishme.com/locky-a-new-encryption-ransomware-borrowing-ideas-from-the-best/

http://www.antiy.com/response/locky/First_Bitcoin_ransomware_with_Chinese_prompts_locky.pdf

저작자표시 비영리


FTP는 사용하지 않고, SFTP를 이용하는 서버에 winscp를 이용한 파일 업로드가 가능하여 간단한 스크립트를 작성하였다.


사용방법은 아래의 링크에서 확인가능하다.

http://winscp.net/eng/docs/scripting


winscp가 설치된 경로에 winscp.com 파일이 존재하는데, 해당 파일을 이용하여 서버로의 접속 및 일련의 명령을 순차적으로 수행이 가능하다. 

저작자표시 비영리

+ Recent posts

티스토리툴바