1. (무료 구독자)
악성링크분석
작 성 일
2014년 1월 16일
No. SEIS-14-01-01
Bitscan
작 성 자
▣ 상황 요약
2014년 1월 11일(금)부터 13일(월)까지 코리아닷컴(KOREA.COM) 포탈의 뉴스 게시판 등에서 악성링크가 삽입
되어
웹사이트
방문자들에게
악성코드가
자동으로
감염되게
하는
드라이브바이다운로드(DBD,
Drive-by-download) 공격이 발생하였다.
빛스캔에서 매주 수요일 발간하는 고급보안정보구독서비스와 익일 발간하는 주간 브리핑 요약에 서술하였으며,
국내 타 보안 연구단체에서 발표한 분석 보고서의 내용을 비교 분석한 결과 일부 항목에 누락된 사항이 있어
당사가 보유한 해당 관련 사항 일체를 추가로 공개한다.
▪ 공격의 시작은 악성링크(exflow.net/ken/index.html)가 국내 모 웹사이트의 웹소스에 업로드되는 순간부터 시
작되었으며 당사가 탐지한 시각은 1월 11일(토) 20시 경이다.
▪ 1월 12일, 코리아닷컴 뉴스 페이지(http://news.korea.com/main_weather.asp)에서
악성링크(exflow.net/ken/index.html)가 삽입된 점 또한 확인되었으며, 1월 13일 20시 경에 제거되었다.
▪
이
악성링크에서
사용자의
감염을
유도하기
위해
사용한
취약점은
9종(3544-0507-1723-4681-
5076-1889-0422-2465-0634)으로 Gongdad Exploit Kit과 Caihong Exploit Kit이 함께 사용되었다.
▪
위의
악성
링크
이외에도
코리아닷컴
뉴스
페이지에서는
jaemoon.co.kr/ken/index.html,
crehome.co.kr/pop/index.html 등의 악성링크가 추가로 발견되어 분석하였다.
▪최종 다운로드되는 악성코드를 분석한 결과, 대부분 트로이목마 형태로 파밍공격과 백도어 기능을 가졌다.
▣ 세부 정보
▶ 악성 링크 삽입 스크린샷 – 1월 13일(월) 16시경
1
2. ▶ 악성 링크 구조 – 1월 13일 22시경 출현
news.korea.com/main_weather.asp
--> crehome.co.kr/pop/index.html
--> ageha.co.kr/pop/index.html
▶ 악성 링크 소스 - crehome.co.kr/pop/index.html
▶ 악성 링크 소스 - ageha.co.kr/pop/index.html
2
3. ▶ C&C 정보(악성 네트워크 연결)
▪ 위에 언급된 악성 링크를 분석한 결과 다음과 같이 다양한 C&C 연결정보가 공격에 활용되었다.
121.119.254.25
670089a.0015.npycom.com/korea.html
user.qzone.qq.com/2878663002
user.qzone.qq.com/2091757018
cheng.kor93.iis800.com/index.htm
user.qzone.qq.com/2011006050
v1.v4yf.com
67.198.139.216:805/plus.php
[그림. QQ로 연결 확인]
▶ 바이너리 정보(악성 파일)
▪ 위에 언급된 악성 링크를 분석한 결과, 사용자에게 감염을 시도할 때 사용되는 악성 파일의 정보는 다음과 같다.
kent.rootmoney.com/pc/denoct.exe (3F2AFBCDA44D3618B1252D968F915318)
biteo.co.kr/bbs/confe.scr (C65EFCA9EDCB8F28C03461C26F522833)
110.34.198.132:802/smss.exe (A0BB6B49B51E981F30174240E8D65C57)
▶ 바이너리 분석 정보
▪ http://kent.rootmoney.com/pc/denoct.exe 파일을 동적 분석한 결과는 다음과 같다.
최종 다운로드파일
URL http://kent.rootmoney.com/pc/denoct.exe
NAME
3f2afbcda44d3618b1252d968f915318
C:Program FilesCommon Filesdenoct.exe
NAME
추가 생성파일
MD5
위치
추가 생성파일
denoct.exe
hosts.ics
MD5
-
위치
C:WINDOWSsystem32drivershosts.ics
3
4. NAME
MD5
-
위치
추가 생성파일
hosts
C:WINDOWSsystem32drivershosts
File system activity
Opened files
C:Program FilesCommon Filesdenoct.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32net.exe
C:WINDOWSsystem32drivershosts.ics
C:WINDOWSsystem32drivershosts
Copied files
C:Program FilesCommon Filesdenoct.exe
Registry activity
Set keys
KEY:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunkoreanproc
TYPE: REG_SZ
VALUE: C:Program FilesCommon Filesdenoct.exe
Process activity
Created processes
net start
Runtime DLLs
c:windowssystem32kernel32.dll
c:windowssystem32msvcrt.dll
c:windowssystem32user32.dll
c:windowssystem32gdi32.dll
c:windowssystem32advapi32.dll
c:windowssystem32shell32.dll
c:windowssystem32ole32.dll
c:windowssystem32oleaut32.dll
c:windowssystem32wininet.dll
c:windowssystem32avicap32.dll
Network activity
http://670089a.0015.npycom.com/korea.html
http://user.qzone.qq.com/2878663002
파밍 연결지
114.191.54.223 kBstar.coM
114.191.54.223 www.kBstar.coM
114.191.54.223 OpeN.kBstar.coM
114.191.54.223 omoNey.kBstar.coM
4
6. 114.191.54.223 www.keB.co.kR
114.191.54.223 eBaNk.keB.co.kR
114.191.54.223 oNliNe.keB.co.kR
114.191.54.223 OpeN.keB.co.kR
114.191.54.223 www.haNmail.Net
114.191.54.223 haNaBaNk.coM
114.191.54.223 www.haNaBaNk.coM
114.191.54.223 OpeN.haNaBaNk.coM
114.191.54.223 www.haNacBs.coM
114.191.54.223 kfCc.co.kR
114.191.54.223 www.kfcc.co.kR
114.191.54.223 iBs.kfcc.co.kR
114.191.54.223 epostBaNk.go.kR
114.191.54.223 www.epostBaNk.go.kR
114.191.54.223 nAtE.coM
Vulnerability Set
3544-0507-1723-4681-5076-1889-0422-0634-2465
Malware IP Address
Malware IP Nation
ISP Name
101.79.5.30
Korea
G&j, Ltd.
※ 본 분석보고서에 언급된 내용은 고급보안정보구독서비스 엔터프라이즈 레벨 가입자에 한해 15일(수)에 이미
제공되었다.
끝.
빛스캔주식회사는 웹보안 전문 기업으로 국내외 210만개 웹사이트를 모니터링함으로써 웹사이트를 통해 악성코드
에 감염될 수 있는 악성 링크를 탐지 및 분석하는 체계를 운영하여 누적된 DB를 활용하여 차단 장비 및 보고서를
제공하고 있으며, 웹 취약점을 온라인으로 진단할 수 있는 비트스캐너도 운영하고 있다. info@bitscan.co.kr
6