'202.59.156.124'에 해당되는 글 1건

  1. 2010.01.12 악성도메인 - on77.net, fastupdater.net
0x02 analysis2010. 1. 12. 00:18


하우리에서 바이러스 숙주사이트 차단 메일을 받았습니다.

fastupdater.net
on77.net


검색을 해보니 http://chpie.tistory.com/112 에 정보가 있더군요..
위 블로그에서 파일을 받아서 좀 더 살펴봤는데 chpie님과는 좀 다르게 접근을 해봤습니다.

일단 C:\WINDOWS\systam32\svohasf.exe를 생성해서 이 프로세스가 C&C에게 연결을 합니다.
그리고 연결전에 윈도우 방화벽 기능에 이 프로그램에 대한 접속을 허용하는 레지스트리를 생성합니다.

<파일 생성>



<서비스 등록>





<C&C 접속>



<방화벽 기능 관련 레지스트리 등록>



chpie님의 블로그에도 나와 있는것처럼 스트링을 확인해보면 1개의 IP와 총 2개의 도메인이 확인됩니다.




svdhost2.exe를 실행한 후에 패킷을 캡쳐해보면 202.59.156.124:8776으로 접속을 시도하지만 현재는 서버가 죽어있어서 그런지 접속이 안됩니다.




202.59.156.124로 접속이 안되면 on77.net의 7064 포트로 접속을 시도합니다.
위 그림을 보시면 접속 후 어떤 데이터들을 보내고 있는데 스트림을 살펴보면 위에서 보셨던 svohasf.exe라는 파일명도 보이고 PE 포맷도 확인할 수 있었습니다.




MZ 이후가 svohasf.exe 파일 내용이라면 그 전에 나오는 내용들이 어떤 의미인지 확인을 해봐야 할 것으로 보입니다.

좀비가 C&C에게 보내는 데이터(빨간부분)도 있고 C&C가 좀비에게 보내는 데이터도 있습니다.(PE 파일 제외하고)
패킷의 RAW 데이터를 확인해봤습니다.

확인은 두번의 테스트를 했습니다.

1) C&C (222.231.57.37) --> 좀비 (192.168.37.10) : random data (8byte)
2) 좀비 (192.168.37.10) --> C&C (222.231.57.37) : random data (20byte)
3) C&C (222.231.57.37) --> 좀비 (192.168.37.10) : 08 00 00 00 00 00 00 00 (8byte)
4) C&C (222.231.57.37) --> 좀비 (192.168.37.10) : 48 D4 00 02 13 A8 46 4B FA 01 C6 B5 9F 2E FF 5B 
                                                 6A 26 04 25 C5 AA F4 2E 48 B1 2A 1D 35 45 D3 BC 
                                                 6C 65 A8 4C 57 44 DD CD 00 D4 00 00 01 00 73 76 
                                                 6F 68 61 73 66 2E 65 78 65 00 00 00 F0 E5 12 00 
                                                 44 E5 12 00 24 E5 12 00 4D 5A + PE File(malware)

두번 실행했을때 처음 서로 주고 받는 데이터는 상이 했지만 나머지 두번의 C&C가 좀비에게 전송하는 데이터는 일정했습니다.


1) C&C (222.231.57.37) --> 좀비 (192.168.37.10)




1) C&C (222.231.57.37) --> 좀비 (192.168.37.10)




2) 좀비 (192.168.37.10) --> C&C (222.231.57.37)




2) 좀비 (192.168.37.10) --> C&C (222.231.57.37)




3) C&C (222.231.57.37) --> 좀비 (192.168.37.10)




4) C&C (222.231.57.37) --> 좀비 (192.168.37.10)




분명 위에 블럭처리한 부분들이 의미하는게 있을텐데 정확히 알 수가 없군요...(내공이 부족하여...ㅜ.ㅜ)
단 첫번째,두번째 서로 주고 받는 데이터들은 랜덤한 데이터이기 때문에 IDS에서 탐지문자열로 사용하기 적절하지 않지만
마지막에 보이는 항상 일정한 HEX값은 IDS 탐지문자열로 사용하기에 나쁘지 않을 것으로 보입니다.
물론 바이너리값으로 사용하셔야겠죠..
지방쪽 IDS에 넣어서 추이를 살펴볼만할 것으로 판단됩니다.



p.s
최근에 특이한 형태의 C&C들이 많이 보입니다.
특히 HTTP로 통신하는...
게다가 일반 텍스트로 통신하는게 아닌 암호화되거나 인코딩된...
인코딩된거면 그나마 쉽겠지만 특이한 방식으로 암호화된 것이라면 참 난감하겠죠...
그런 녀석들 몇개 찾아 놨으니 시간될때마다 조금씩 분석해봐야겠습니다.





Posted by demantos