SlideShare a Scribd company logo

Blackmoon hacker group profile

JaeChun Lee
JaeChun Lee

금융정보 파밍 해커그룹 프로파일

Data & Analytics
1 of 47
2015년 국정감사 장병완 의원 발표, 상반기 파밍 피해액 200억원 이상, 7월 5956건 건당 평균 약 300백만원 <출처 : ‘15년 데일리한국 등>
3월 4월 5월
3월 4월 5월 69% 31% blackmoon etc 58% 42% blackmoon etc 73% 27% blackmoon etc
 포티넷, 파이어아이, 팔로알토 등이 blackmoon 관련 악성코드 발표(4~6월)
 “黑月编译器插件”(블랙문 컴파일러 플러그인) : C/C++, 델파이, 중국 Ez 랭귀지 등에 포함 되는 플러그인(라이브로리 다수와 OBJ 파일 간소화 등 기능)  해당 라이브러리 사용시, Virus total에서 YARA 룰 적용 6.26~6.27(2일간) 187 개 탐지
 정의 : 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템 (DNS) 또는 프락시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인 하여 접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법
CK VIP Blackmoon botnet NPKI 식별정보 DBD 파밍 IP
 사용자가 직접 금융정보를 입력하기 위한 사회 공학적 기법 사용(APT)  특별히 눈에 보이는 악성행위는 하지 않고 금융 사이트 접속 시의 DNS나 네트워크 관련 설정을 건드림  2016년도에는 PAC 방식으로 악성코드를 업그레이드(6월 현재 사용하는 형태) 2014 ~ 2015 초 2016
 다양한 패커를 사용하지만 최신 고 난이도의 패커는 사용 하지 않음  웹 사이트를 악용한 DBD 형태의 유포를 주로 이용함  악성코드를 위하여 CK VIP 악성코드를 주로 사용  한국 대상인 경우, 공인 인증서 (NPKI폴더) 유출 *.cer, *.der 검색  users.qzone.qq.com 사이트에서 파밍 IP 획득함 - (14년) http://user.qzon.qq.com/190055271 - (15년) http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=3091029008 8.5
2014년 – 국내 거점 다수 2016년 – 해외 거점
리버스 쉘
초기 진입 웹 취약점 이후 파일공유 취약점
Exploit kit 활용 BlackMoon 계열 악성코드 유포
 공격자가 사용하는 Exploit kit : CK VIP 5.7 (5월) (4.26→5.7)
 공격자가 사용하는 Exploit kit : 2014년
2016년
2015년 상반기 이전
http://blog.bandisoft.com/132
 정상 꿀뷰 파일 : honeyview-setup-kr.exe  위장 파일 : honeyview-setup-kr (5).exe  MD5 : 81145c4e1b8814eb1509c460dc5239a0
내부공격서버 국내 거점 OOO IDC www.OOO.co.kr 2016. 3월 분석
ARP 스푸핑 공격 발생시점 당시에 302 패킷을 변조하여 악성코드 유포 사 이트로 이동되도록 설정한 내용이 포함되어 있음 악성코드 유포사이트 : 3월 MCF 에서도 유포지로 등장
MD5 : 70e3cdaf9ba568fd1a993dbc497f3b72
 MD5 - 67efea7c9756accb7b88d790f0dc9824 - aa1123eb370c7854dcc51fa1f7a88a20 - efcb24949898e64f285644e76874659c - 1ad0fcbebf34c30727dca298e8d96e0f - 0DD2F48539EF0B0E8E42A262F9FFC217  C&C - 104.216.106.40, US - 112.121.175.140, HK - 112.121.165.93, HK - 112.121.169.130, HK - 103.228.28.170, CN
 Drops the file Drop - C:WINDOWS8000  Registries - process path: C:WINDOWSsystem32cacls.exe - key: HKCUSoftwareMicrosoftInternet ExplorerMain - Type: REG_SZ - value: Start Page - data: www.naver.com - process path: C:WINDOWSsystem32cacls.exe - key: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings - Type: REG_SZ - value: AutoConfigURL - data: http://127.0.0.1:1176/숫자
감사합니다

Recommended

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
plainbit
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
GangSeok Lee
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
Youngjun Chang
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
Youngjun Chang
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 

Recommended

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
plainbit
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
GangSeok Lee
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
Youngjun Chang
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
Youngjun Chang
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
Bitscan appliance
Bitscan applianceBitscan appliance
Bitscan appliance
Bitscan
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
Youngjun Chang
 
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
Bitscan
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015
Chanjin Park
 
(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가
INSIGHT FORENSIC
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
plainbit
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
INSIGHT FORENSIC
 
안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제
Hyoje Jo
 
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
re4lfl0w
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
한익 주
 
Mobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarMobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS Serminar
Yongjun Park
 
Under attack - application
Under attack - applicationUnder attack - application
Under attack - application
Wonjun Hwang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
Youngjun Chang
 
codeache
codeachecodeache
codeache
Jacob Joshua
 
2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서
poisoneye
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
시온시큐리티
 
[KCC poster]정준영
[KCC poster]정준영[KCC poster]정준영
[KCC poster]정준영
Junyoung Jung
 
모바일 보안 침해 사례
모바일 보안 침해 사례모바일 보안 침해 사례
모바일 보안 침해 사례
JM code group
 

More Related Content

What's hot

악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
Bitscan
 

What's hot (7)

Bitscan appliance
Bitscan applianceBitscan appliance
Bitscan appliance
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
 
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 

Similar to Blackmoon hacker group profile

안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제
Hyoje Jo
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
한익 주
 

Similar to Blackmoon hacker group profile (16)

Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015
 
(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제
 
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
 
Mobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarMobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS Serminar
 
Under attack - application
Under attack - applicationUnder attack - application
Under attack - application
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
codeache
codeachecodeache
codeache
 
2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
 
[KCC poster]정준영
[KCC poster]정준영[KCC poster]정준영
[KCC poster]정준영
 
모바일 보안 침해 사례
모바일 보안 침해 사례모바일 보안 침해 사례
모바일 보안 침해 사례
 
[113]LINExNAVER 개발 보안 취약점 이야기
[113]LINExNAVER 개발 보안 취약점 이야기[113]LINExNAVER 개발 보안 취약점 이야기
[113]LINExNAVER 개발 보안 취약점 이야기
 

Blackmoon hacker group profile

  • 1.
  • 2.
  • 3.
  • 4. 2015년 국정감사 장병완 의원 발표, 상반기 파밍 피해액 200억원 이상, 7월 5956건 건당 평균 약 300백만원 <출처 : ‘15년 데일리한국 등>
  • 7.
  • 8.  포티넷, 파이어아이, 팔로알토 등이 blackmoon 관련 악성코드 발표(4~6월)
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.  “黑月编译器插件”(블랙문 컴파일러 플러그인) : C/C++, 델파이, 중국 Ez 랭귀지 등에 포함 되는 플러그인(라이브로리 다수와 OBJ 파일 간소화 등 기능)  해당 라이브러리 사용시, Virus total에서 YARA 룰 적용 6.26~6.27(2일간) 187 개 탐지
  • 14.  정의 : 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템 (DNS) 또는 프락시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인 하여 접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법
  • 16.  사용자가 직접 금융정보를 입력하기 위한 사회 공학적 기법 사용(APT)  특별히 눈에 보이는 악성행위는 하지 않고 금융 사이트 접속 시의 DNS나 네트워크 관련 설정을 건드림  2016년도에는 PAC 방식으로 악성코드를 업그레이드(6월 현재 사용하는 형태) 2014 ~ 2015 초 2016
  • 17.  다양한 패커를 사용하지만 최신 고 난이도의 패커는 사용 하지 않음  웹 사이트를 악용한 DBD 형태의 유포를 주로 이용함  악성코드를 위하여 CK VIP 악성코드를 주로 사용  한국 대상인 경우, 공인 인증서 (NPKI폴더) 유출 *.cer, *.der 검색  users.qzone.qq.com 사이트에서 파밍 IP 획득함 - (14년) http://user.qzon.qq.com/190055271 - (15년) http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=3091029008 8.5
  • 18.
  • 19. 2014년 – 국내 거점 다수 2016년 – 해외 거점
  • 20.
  • 21.
  • 22.
  • 24. 초기 진입 웹 취약점 이후 파일공유 취약점
  • 25.
  • 26. Exploit kit 활용 BlackMoon 계열 악성코드 유포
  • 27.  공격자가 사용하는 Exploit kit : CK VIP 5.7 (5월) (4.26→5.7)
  • 28.  공격자가 사용하는 Exploit kit : 2014년
  • 29.
  • 30.
  • 31.
  • 34.
  • 35.
  • 36.
  • 38.  정상 꿀뷰 파일 : honeyview-setup-kr.exe  위장 파일 : honeyview-setup-kr (5).exe  MD5 : 81145c4e1b8814eb1509c460dc5239a0
  • 39. 내부공격서버 국내 거점 OOO IDC www.OOO.co.kr 2016. 3월 분석
  • 40. ARP 스푸핑 공격 발생시점 당시에 302 패킷을 변조하여 악성코드 유포 사 이트로 이동되도록 설정한 내용이 포함되어 있음 악성코드 유포사이트 : 3월 MCF 에서도 유포지로 등장
  • 42.
  • 43.  MD5 - 67efea7c9756accb7b88d790f0dc9824 - aa1123eb370c7854dcc51fa1f7a88a20 - efcb24949898e64f285644e76874659c - 1ad0fcbebf34c30727dca298e8d96e0f - 0DD2F48539EF0B0E8E42A262F9FFC217  C&C - 104.216.106.40, US - 112.121.175.140, HK - 112.121.165.93, HK - 112.121.169.130, HK - 103.228.28.170, CN
  • 44.  Drops the file Drop - C:WINDOWS8000  Registries - process path: C:WINDOWSsystem32cacls.exe - key: HKCUSoftwareMicrosoftInternet ExplorerMain - Type: REG_SZ - value: Start Page - data: www.naver.com - process path: C:WINDOWSsystem32cacls.exe - key: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings - Type: REG_SZ - value: AutoConfigURL - data: http://127.0.0.1:1176/숫자
  • 45.
  • 46.