20171020, DNS 변경과 PAC스크립트 변경을 보인 파밍 악성코드 분석 보고서

1. DNS 파밍 악성코드 분석 보고서
분석 날짜 : 2017-10-20
10월 17일 16시경 P2P 사이트에서 유포된 새로운 파밍 악성코드는 약 3주만에 기존 파밍 악성코
드와는 다른 모습을 보이고있다.
윈도우 기본 서비스 NetSH를 이용하여, 현재 연결된 네트워크 장치의 DNS를 변조를 진행한다.
하위로 생성된 ssss.exe에서 C&C정보를 가져온 후, 공인인증서 탈취 및 피싱 페이지 유도를 진행
한다.
기존 파밍 악성코드와 다른 부분은 DNS를 이용한 C&C 정보 획득, PAC 스크립트가 수정된 부분
이다.
기본 정보
NO File MD5 Compressing
1 Ad.exe ABE9D59D816F39547B4B92A02C17D7E4 ASPack 2.12
2 Ssss.exe 920BA9AEEB556FF96107A23586C3E5DB Themida Packed
3 NetSH_.txt 29CFE078822CC3356B76C002441E66F5 ASCII Text
[ 표 1. 생성 파일 정보 ]
NO File Complie date Compressing
1 Ad.exe 2017 / 10 / 17 – 05:38:44 UTC ASPack 2.12
2 Ssss.exe 2017 / 10 / 12 – 13:12:37 UTC Themida Packed
[ 표 2. 생성 파일 컴파일 날짜 ]
순서 명칭 행위
1 Ad.exe 파밍 악성코드 실행 (실질적으로 파밍을 위한 준비파일)
2 NetSH DNS 수정을 위해 스크립트 생성 및 명령 실행
3 SSSS.exe C&C 서버 정보 파싱
4 Info to C2 공인 인증서, 맥 어드레스, 국가코드 C&C서버로 전송
5 PAC FAKE Proxy Proxy서버를 열고 브라우저 내 PAC 활성화
6 피싱 유도 유명 사이트 플로팅 배너 (네이버, 옥션, 다음, 우채국)
[ 표 3. 악성코드 실행 순서 ]

2. [ 그림 1. NetSH 스크립트 ]
스크립트 생성 : C:USERSPOISONEYEAPPDATALOCALTEMPNETSH_.TXT
해당 스크립트가 생성되면 NetSH를 명령프롬프트를 이용하여 시스템에서 실행한다.
NetSH란? netsh의 일반적인 사용방법은 TCP/IP 스택을 기본 값으로 되돌려주는 것이다. 잘 알려
진 매개변수로는, 윈도우 98에서 TCP/IP 어댑터의 재설치 작업이다.. 그 모드에서는 당신은 반드
시 로그 파일을 제공하거나 netsh 영향을 받은 가치와 함께 보존해야 한다.
Netsh의 많은 다른 기능으로는, 사용자 컴퓨터의 IP 주소를 변경하는 기능도 있다.
(위키백과 일부 발췌 : https://ko.wikipedia.org/wiki/Netsh)

3. [ 그림 2 .DNS가 변경되어 요청되는 모습 ]
[ 그림 3. 네트워크 장치 속성 중 IPv4 DNS 정보 (기본 : 자동) ]
스크립트가 실행되면 네트워크 어뎁터 정보 중 DNS 정보가 변경된다.

4. [ 그림 4. Ssss.exe 파일생성 ]
[ 그림 5. 현재 국내에서 일반적으로 접속이 되지않는 QQ정보 조회 페이지에서 C&C 파싱 ]
[ 그림 6. 암호화된 맥 어드레스와 국가코드 C&C 전송 ]

5. [ 그림 7. 감염 후 플로팅 배너 ]
[ 그림 8. 특정 은행페이지의 도메인이 의심스러운 도메인이다 ]
[ 그림 9. PAC 스크립트가 수정되었다 ]