'분류 전체보기' 카테고리의 글 목록 (15 Page)

분류 전체보기

일본 금융사 대상 악성 코드

johnst 2016. 1. 7. 10:24

2016. 1. 7. 10:24

참고 : http://www.virusradar.com/en/Win32_Brolux.A/description

http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2015-101522-0744-99

악성 코드는 시작 프로그램 등록 및 외부 서버와 통신 후, tmp 하위에 title.txt, url.txt 생성

title.txt에는 브라우저 접속 시 (IE, chrome) 확인되는 title이며, url.txt의 경우 일본 금융사의 URL이 적혀있음

감염 시스템 사용자가 브라우저를 이용하여 일본 금융사 웹 서비스 이용 시, title 값 및 url 값 비교하여 매칭 되었을 경우, 특정 서버로 정보를 탈취하는 것으로 확인

과거 2015년 10월 부터 존재했을 것으로 판단

저작자표시 비영리

Linux Kdefend

johnst 2016. 1. 6. 16:58

2016. 1. 6. 16:58

2015년 12월 malwaremustdie에서 확인/분석한 kdefend라고 명명된 리눅스 악성 코드는 초기 접속 시, china라는 이름과 함께 cpu 정보를 전송하는 것으로 파악되며, 메모리 정보도 같이 전송하는 것으로 보인다.

다만, 앞서 이야기한 china 문자열이 항시 고정적인지,, 그리고 아래 블로그에서 확인가능한 %d나 %s, %u에 값이 들어가지 않고, 상시 포맷 값을 받는 형태로 쓰이는지는 악성 코드 샘플 확보 후, 확인이 필요하다.

kdefender 리눅스 악성 코드 공격의 시작은 다른 리눅스 악성 코드의 시작과 유사하게 특정 시스템의 권한 탈취에 의한 것으로 판단된다. 이를 위해서는 SSH Brute force, Shellshock 등의 알려진 취약점 및 신규 취약점을 이용할 것으로 판단된다.

이후 해당 시스템에 알맞은 악성 코드를 다운로드 받아 실행될 것으로 보인다.

샘플 확보가.. 어렵다..

source : http://blog.malwaremustdie.org/2015/12/mmd-0045-2015-kdefend-new-elf-threat.html

위 블로그 내용을 더 살펴보면 사용되는 주요 공격 모듈의 이름을 확인할 수 있다. UdpLitenThread, DDosSock_Init 등이 그것이다. 또한 초기 접속 시 사용되는 감염 시스템의 정보는 NetPPS, CPUUsage 모듈을 이용하여 수집하는 것으로 확인된다고 하며, ifconfig에 의해 출력되는 결과물을 grep을 통하여 파싱하는데 이 때, 확인된 악성 코드에서는 해당 grep 명령어가 실행될 수 없는 형태로 실행되어 있음에 정상적으로 정보를 전송하지 못하고 있음을 확인하였다. 이에 블로그 분석가는 이 악성 코드 제작자가 아마추어가 아닌가 판단하고 있다.

저작자표시 비영리

랜섬웨어 유포지

johnst 2016. 1. 5. 13:53

2016. 1. 5. 13:53

188.138.xx.xx/3903fd9643c130e5ac037c69a803beda 와 같이 특정 서버의 리얼 IP를 기반으로 랜섬웨어를 유포하는 정황이 다시 확인되나, 수동으로 파일 다운로드 시도 시, 다운로드 되지 않는다.

우찌 샘플 확보를 못하려나.

저작자표시 비영리

Ransom32 샘플을 구하고 싶다..

johnst 2016. 1. 4. 15:56

2016. 1. 4. 15:56

Ransom32 uses the Node.js runtime environment running on the NW.js platform to burrow into the target operating system and hold files to ransom.

Ransomware-as-a-Service.

Delivered as a compressed RAR file, Ransom32 self-extracts and uses WinRAR's scripting language to configure the malware to launch at system startup, establishing a connection to a 'command and control server' using the bundled Tor client

Files are encrypted and a ransom note is issued, warning that the cost of decrypting files will increase as time goes by.

Files are being encrypted using AES with a 128 bit key using CTR as a block mode. A new key is being generated for every file. The key is encrypted using the RSA algorithm and a public key that is being obtained from the C2 server during the first communication

출처 : http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/

Node.js, NW.js니 정확히 모르겠다. 다만, Ransomware를 서비스 형태로 제공해주는데, 비트코인을 전송할 주소를 입력하고, 악성 코드를 생성한 뒤에 그 파일을 유포하도록 한다.

유포하는 방식은 아마 해당 서비스를 이용하는 주체들이 알아서 해야할 일 같다. 이때, Node.js 환경에 NW.js 플랫폼을 이용하는 방식으로 파일 크기가 크며, WinRAR SFX로 압축되어 유포된다고 한다.

샘플을 구하고 싶다..

저작자표시 비영리

PREV 이전 1 ···12 13 14 15 16 17 18 ···51 NEXT 다음

꿈 꾸는 사람