꿈 꾸는 사람

1. C:\Windows\directx.exe 생성 

2. 1 경로 시작 프로그램 등록

3. 특정 파일 확장자 검색 (mask.php post 전송 후, response 되는 값에서 확인 가능, HTTP 통신 이후에 악의적인 행위 발생 가능성)

4. 조건에 맞는 확장자 확인 시, AES Key 생성 및 암호화

- 암호화 되는 과정 중에 Shadow Volume Copy 삭제하는 행위 진행

- 암호화 이후, YOUR_FILES.url 파일 생성하는 특징

현재까지 확인된 IoC

- %Desktop%\YOUR_FILES.url

- C:\Windows\directx.exe

- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost C:\Windows\directx.exe

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost C:\Windows\directx.exe

- .rrk 확장자 (nocase)

원격 지원 프로그램 중 supremo 프로그램이 존재하는데 해당 프로그램 실행 시, HTTP 통신 (POST)를 통해 주기적인 Communication이 이뤄지고 있음이 확인된다.

최초에는 해당 HTTP POST 통신이 주기적으로 이뤄지고 있고, 해당 통신이 이뤄지는 서버에 접속 시, Directory Listing 되며, 해당 디렉토리 내부의 파일이 보여짐에 따라 악의적인 서버와의 통신이 아닐까 생각하였다.

추가적인 확인 결과 RTC Gateway를 이용한 원격 통신 형태의 한 형식임을 확인하였다. RTC란, Real Time Communication의 약자로 브라우저 간의 통신으로 메시지, 영상, 음성 데이터를 주고 받을 수 있도록 해주는

일종의 규격으로 이해를 했다. 이것은 W3C에서 제시되었다고 한다. 

아래와 같은 통신을 진행한다. 

자세한 사항은 추후에 좀 더 찾아봐야하겠다. 

일반적인 PC 사용자들은 index.dat 파일에 대해서 알지 못할 것으로 판단된다. index, 색인이라는 뜻을 가진 이 파일의 의미는 무엇일까? 1차적으로 확인해 본 결과 PC 사용자가 접근한 Online 정보 (URL 접속 정보 등) 및 파일 접근 경로 등에 대한 정보를 가지고 있다.

PC에서 이 파일을 가지고 있는 이유는 무엇일까? 알려진데로 index.dat에 기록된 접근 경로를 다시 접근할 때, index.dat 파일을 참조하여 접근할 수 있도록 하여 사용자가 원하는 접근의 속도를 향상 시키기 위함에 있다고 볼 수 있다.

CPU와 메모리 사이에 cache가 존재하여 CPU와 메모리 사이의 속도 차이를 개선/극복하듯이 이 또한 유사한 원리를 통해 사용자의 PC 사용을 원활케 한다. 모든 편리함 혹은 기능 개선을 위한 기술을 악용하는 공격자가 존재할 수 있는데, index.dat 파일을 이용한 악의적인 행위를 우리는 확인해 볼 수 있다.

궁금해하는 누군가가 무엇을 하는지? 무엇에 관심이 있는지? 물음을 가지고 있다면 이 파일을 이용할 수 있을 것이다. 어느 날, 누군가가 어제 밤 어디어디 사이트에 접속하셨군요, 어디어디에 관심있으세요? 라고 물어온다면

단순히 중간에서 스니핑한 것이 아니라 자신의 시스템에 악성 코드 혹은 애드웨어의 감염을 의심해봐야한다.

악성코드/애드웨어는 index.dat 파일의 내용을 기반으로 특정 사이트 접근 시, 팝업 혹은 특정 악성 행위를 수행하도록 할 수 있으며, 다수의 시스템 감염으로 확보된 index.dat 파일을 기반으로 통계 데이터 생성 후, 2차 행위를 수행할 수 있을 것이다.

참고 사이트 : http://forensic-proof.com/archives/243

               https://en.wikipedia.org/wiki/Index.dat

https://www.virusbtn.com/virusbulletin/archive/2014/03/vb201403-ProxyCB.dkb?mobile_on=yes