주간 악성 공격 동향 요약
4월 2주차 악성 공격 동향에는 금탐지가 CK Exploit Kiti 만 탐지되었다. 또한 특정 분석을 속이기 위해 임의의 인자 값을 의도적으로 집어 넣는것으로 확인되었다.
금주 공격은 파밍ii 공격이 가장 활발하게 이루어졌고, 특정 광고사이트에 삽입되어 악성코드를 유포한 정황이 포착 되었기 때문에 주의를 기울여야 할 것으로 사료된다.
주간 악성 공격 동향 요약
4월 2주차 악성 공격 동향에는 금탐지가 CK Exploit Kiti 만 탐지되었다. 또한 특정 분석을 속이기 위해 임의의 인자 값을 의도적으로 집어 넣는것으로 확인되었다.
금주 공격은 파밍ii 공격이 가장 활발하게 이루어졌고, 특정 광고사이트에 삽입되어 악성코드를 유포한 정황이 포착 되었기 때문에 주의를 기울여야 할 것으로 사료된다.
주간 악성 공격 동향 요약
4월 1주차 악성 공격 동향에는 전주대비 소량의 링크들이 발견되었다. 카운터 링크와, 레거시, 디페이스 공격이 탐지되었다.
금주 공격은 파밍 공격이 가장 활발하게 이루어졌고, 최근 디페이스 공격으로 인해, 포이즌아이 탐지 영역에서도 디페이스가 발견되었다.
주간 악성 공격 동향 요약
3월 5주차 악성 공격 동향에는 CK Exploit Kit 공격이 전주에 비해 미미한 모습을 보였고 악성코드 경유 재사용 및 페이로드 변경이 잦은 특이점을 포착했다.
금주 공격은 파밍 과 안드로이드 공격이 가장 활발하게 이루어졌고, 한 개의 유포지에서 다양한 공격 방법을 사용한 정황이 파악되어 공격자의 수상한 움직임에 주의를 기울여야 할 것으로 전망된다.
주간 악성 공격 동향 요약
3월 4주차 악성 공격 동향에는 CK Exploit Kit 공격이 다수 확인되었고, 이외 피싱, 성인사이트 리다이렉션, 모바일 등의 공격이 포착되었으며, 이전 안드로이드 악성코드를 유포한 경유지가 재사용된 것으로 확인되었다.
금주 공격은 파밍 과 CK Exploit Kit 공격이 가장 활발하게 이루어졌고, CVE-2016-0189의 영향이 아직 건재하다는 듯 다수의 사이트에서 유포중인 정확을 파악했으며, 경유지 재사용의 모습과 유명 사이트들에 영향을 끼친 것으로 조사되었다.
주간 악성 공격 동향 요약
3월 3주차 악성 공격동향에는 CK Exploit Kit공격의지속적인 활동과, 파밍 악성코드 해쉬 변화량이 전주에 비해 급증 했다는 것이다. 금주 공격은 파밍과CK Exploit Kit 공격이 가장 활발하게 이루어졌고, 주유포지 및 경유지는 쇼핑, 생활, 문화 사이트 등으로 확인되었으며, 지속적으로 특정 호스팅이 영향을 받고 있는 것으로 조사되었다.
주간 악성 공격 동향 요약
3월 1주차 악성링크는 유포지 8곳, 악성링크 페이로드 4건이 발견되었으며, CK Exploit Kit의 재활동과 안드로이드 악성 APK유포가 포착되었으며 주 유포지는 쇼핑몰, 중소기업, 문화단체, 축산물 사이트로 집계되었고 특정 호스팅업체를 사용하는 사이트들이 대량으로 악성코드를 유포한 정황을 확인했다
1. DNS 파밍 악성코드 분석 보고서
분석 날짜 : 2017-10-20
10월 17일 16시경 P2P 사이트에서 유포된 새로운 파밍 악성코드는 약 3주만에 기존 파밍 악성코
드와는 다른 모습을 보이고있다.
윈도우 기본 서비스 NetSH를 이용하여, 현재 연결된 네트워크 장치의 DNS를 변조를 진행한다.
하위로 생성된 ssss.exe에서 C&C정보를 가져온 후, 공인인증서 탈취 및 피싱 페이지 유도를 진행
한다.
기존 파밍 악성코드와 다른 부분은 DNS를 이용한 C&C 정보 획득, PAC 스크립트가 수정된 부분
이다.
기본 정보
NO File MD5 Compressing
1 Ad.exe ABE9D59D816F39547B4B92A02C17D7E4 ASPack 2.12
2 Ssss.exe 920BA9AEEB556FF96107A23586C3E5DB Themida Packed
3 NetSH_.txt 29CFE078822CC3356B76C002441E66F5 ASCII Text
[ 표 1. 생성 파일 정보 ]
NO File Complie date Compressing
1 Ad.exe 2017 / 10 / 17 – 05:38:44 UTC ASPack 2.12
2 Ssss.exe 2017 / 10 / 12 – 13:12:37 UTC Themida Packed
[ 표 2. 생성 파일 컴파일 날짜 ]
순서 명칭 행위
1 Ad.exe 파밍 악성코드 실행 (실질적으로 파밍을 위한 준비파일)
2 NetSH DNS 수정을 위해 스크립트 생성 및 명령 실행
3 SSSS.exe C&C 서버 정보 파싱
4 Info to C2 공인 인증서, 맥 어드레스, 국가코드 C&C서버로 전송
5 PAC FAKE Proxy Proxy서버를 열고 브라우저 내 PAC 활성화
6 피싱 유도 유명 사이트 플로팅 배너 (네이버, 옥션, 다음, 우채국)
[ 표 3. 악성코드 실행 순서 ]
2. [ 그림 1. NetSH 스크립트 ]
스크립트 생성 : C:USERSPOISONEYEAPPDATALOCALTEMPNETSH_.TXT
해당 스크립트가 생성되면 NetSH를 명령프롬프트를 이용하여 시스템에서 실행한다.
NetSH란? netsh의 일반적인 사용방법은 TCP/IP 스택을 기본 값으로 되돌려주는 것이다. 잘 알려
진 매개변수로는, 윈도우 98에서 TCP/IP 어댑터의 재설치 작업이다.. 그 모드에서는 당신은 반드
시 로그 파일을 제공하거나 netsh 영향을 받은 가치와 함께 보존해야 한다.
Netsh의 많은 다른 기능으로는, 사용자 컴퓨터의 IP 주소를 변경하는 기능도 있다.
(위키백과 일부 발췌 : https://ko.wikipedia.org/wiki/Netsh)
3. [ 그림 2 .DNS가 변경되어 요청되는 모습 ]
[ 그림 3. 네트워크 장치 속성 중 IPv4 DNS 정보 (기본 : 자동) ]
스크립트가 실행되면 네트워크 어뎁터 정보 중 DNS 정보가 변경된다.
4. [ 그림 4. Ssss.exe 파일생성 ]
[ 그림 5. 현재 국내에서 일반적으로 접속이 되지않는 QQ정보 조회 페이지에서 C&C 파싱 ]
[ 그림 6. 암호화된 맥 어드레스와 국가코드 C&C 전송 ]
5. [ 그림 7. 감염 후 플로팅 배너 ]
[ 그림 8. 특정 은행페이지의 도메인이 의심스러운 도메인이다 ]
[ 그림 9. PAC 스크립트가 수정되었다 ]