0x02 analysis2009. 6. 16. 13:28

허니넷을 통해 획득한 파일입니다.

File name : yeah.exe
File size : 66734 byte
md5sum : b6d37181c6c5fba6dbd115ca14f15141


처음 실행했을땐 별거 아니라 생각했는데 생각보다 재미있는 녀석이라 포스팅합니다. ^^;

해당 파일을 실행하면 alosha.endofinternet.org의 8333번 포트로 접속합니다.




접속시 뭔가 데이터를 전송하고 있는데 뭔지는 잘 파악이 안되는군요..-_-;;




접속 후 전송하는 내용을 보aus alosha.endofinternet.org:8333 웹 서버로 특정 데이터를 계속 전송하는데 POST 방식을 사용하고 있었고
URL은 날짜와 시간으로로 된 경로명의 jsp 파일로 전송하고 있었습니다.




하지만 최초 연결 후 패킷을 캡쳐하는 동안에는 별다른 데이터를 전송하지 않고 있었고 모두 Contect-Length가 0이었습니다.
이런 사실들로 미루어 보아 최초 접속 후에는 Health-Check를 하는게 아닌가 하는 생각이 듭니다.




그리고 TCPView로 확인해보면 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결되어 ESTABLISHED된 것을 확인할 수 있었습니다.




시스템에서의 변화는 파일이 4개가 생성되었고 서비스가 2개 추가되었습니다.





해당 서비스는 sbchost.exe를 통해서 서비스가 구동되고 있었고 해당 프로세스가 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결하고 있었습니다.




생성되었던 oschkl.rxr 파일이 위에 보이시는 yrxkzgfp 서비스를 구동하는 파일이었고 나머지 3개의 파일은 Network Connection Manager 서비스와
연관이 있는 파일이었습니다.

그런데 이 3개의 파일들이 모두 각각 특징을 가지고 있었습니다.

oschkl.hbv : 언제 어떤 프로세스를 실행했는지에 대한 기록 저장
oschkl.gtm : 사용자가 실행시킨 프로세스에 DLL 인젝션되는 파일
438d5.kol : 어디에 사용되는지 잘 모르겠지만 내용은 0만 가지고 있음

oschkl.hbv 파일은 IE를 후킹해서 오픈한 사이트와 입력한 문자열들도 모두 저장하고 있었습니다.
아래 그림을 보시면 시간 정보와 실행한 프로세스 혹은 선택한 프로그램에 대한 정보를 기록하고 있었고
naver.com에 접속해서 demantos라는 아이디와
hahaha라는 패스워드를 입력한 결과도 저장하고 있었습니다.




oschkl.htm은 현재 실행되고 있는 모든 프로세스에 DLL 인젝션되고 있었고 새로 실행되는 프로세스에도 인젝션을 하고 있었으며
모든 프로세스에서 발생되는 이벤트(?)들을 기록하고 있었습니다.




좀 더 확인을 해보니 사용자가 입력한 키값도 그대로 저장하고 있더군요(키보드 후킹)
아래 내용은 제가 시작 -> 실행에서 services.msc를 입력한 후 mmc.exe가 실행된 것을 후킹한 내용과 서비스 관리 메뉴에서 yrxkzgfp 서비스를 검색하기 위해
y를 두번 누르고 Network Connection Manager를 찾기 위해 net을 입력한 내용입니다.







지속적으로 모니터링을 했지만 alosha.endofinternet.org:8333로 oschkl.hbv 파일의 내용은 전송하지 않는 것으로 보입니다.
하지만 계속 연결이 되어 있는 것으로 보아 해당 도메인은 C&C 도메인일 가능성이 높고
공격자가 특정 명령을 수행하면 oschkl.hbv 파일의 내용을 가져갈 것으로 생각됩니다.


안타까운 사실은 역시나 국내 백신 엔진들이 아직 탐지를 못하고 있다는 것이었습니다.

http://www.virustotal.com/ko/analisis/5d6fa1ef7df98256cb9640cd3a6b2177567a90d289d271f121cedb7eabc0f0bc-1245119564









Posted by demantos

댓글을 달아 주세요

  1. 추가해야 겠네요^^

    2009.06.16 14:54 [ ADDR : EDIT/ DEL : REPLY ]