반응형
지인에게 받은 샘플을 분석하다가 재미있는 내용이 있어서 간략하게 적어본다.
이번 포스팅의 중점은 DDoS 공격형 악성코드의 분석이 주가 아니라,
특정 블로그에 첨부되어 있는 첨부파일의 주소를 이용하여 서버가 없더라도 충분히 우리나라의 환경에서는
파일서버 형태를 갖출 수 있다는 점이다.
그럼 포스팅 시작~~!!!
최포 유포는 특정 블로그에서 "브루스포스(brute Force)" 파일로 위장되어 사용자들의 다운을 유도한다.
(※ 브루트포스는 무작위로 대입하여 암호를 찾는 방식)
어떠한 이유로 브루트포스 파일을 찾는지는 모르겠으나, 암튼 해당 파일을 받으면 압축형태로 되어있다.
압축 파일 속 "Brute Force v1.2.exe" 파일이 핵심 파일이다.
해당 파일이 실행되면 아래와 같은 프로그램이 실행된다.
하지만, 이 프로그램의 화면을 봤다면 이미 당신은 악성코드에 감염되었을 가능성이 매우 높다.
프로그램이 시작하면서 사용자 모르게 바로 네이버 블로그의 특정 포스트 주소로 이동하기 때문이다.
이 후 해당 포스트에 있는 첨부파일의 주소를 얻게 된다.
(※ 참고사항 - 우리나라 모든 블로그의 첨부파일은 따로 서버에 저장되어 특정한 URL을 가질 수 있다)
아래의 화면은 다운로드 될 파일이 네이버 블로그에 첨부 되어 있는 첨부파일이라는 것을 확인할 수 있다.
실제 다운로드 되는 파일도 MZ(PE구조의 시그니처)로 시작하는 실행파일 이였다.
파일에 대해 아무것도 안쓰기 좀 뭐해서;; 정말 간단하게 알아보면.....
아래와 같은 사용자 정보를 특정서버(210.105.106.150) 로 전송시킨다.
#Information#윈도우 XP#서울특별시 OO동 OO1동#511MB#GGBZ6*****VHU9S#XP#Korea/Korean#Service Pack 2##v 1.2.2
재미있는 부분은 위치정보를 파악하기 위해 http://map.naver.com 사이트를 이용했다 ㅎㅎㅎ
악성코드도 네이버 블로그로 유포하고, 다운로드도 네이버 블로그 첨부파일, 위치정보도 네이버맵 ㅋㅋㅋㅋ
이외에도 명령에 따라 Shutdown, SYN Flood, ES Flood, TCP Rnd Flood, HTTP Flood, ICMP Flood, Download 등의 행위들을
할 수 있다.
알약에서는 해당 파일을 "Backdoor.Agent.Attach" 로 탐지한다.
이와 같이 블로그 문화가 발달한 우리나라에서는 충분히 파일서버가 없더라도 블로그만이라도 유용한
파일서버로 사용 될 수 있다.
이에 블로그를 운영하는 포탈사이트 및 관련 된 사이트에서는 첨부 파일 시 다이렉트 URL이 아닌,
인증되어 다운로드 되는 형식을 갖추어야 할 것이다.
이번에 포스팅 한 형식이 처음나온 형식은 아니나 블로그에 해당 내용이 없어보여서, 간략하게 적어보았다.
'IT 보안소식' 카테고리의 다른 글
| 알약(ALYac), 알약 2.5 기업용 + Roboscan(영문버전) "vb100 - Windows Server 2008 R2 " 국제인증 통과!!(2012년 6월) (2) | 2012.07.17 |
|---|---|
| 안랩닷컴(AhnLab.com), 정보통신망법 개정에 따른 개인정보 삭제 및 자동탈퇴 안내 메일 (0) | 2012.07.17 |
| 카스퍼스키(Kaspersky), 창립 15주년 "역사상 가장 영향력 있었던 악성 프로그램 15개 선정" (2) | 2012.07.16 |
| 메이플스토리(MapleStory)런처를 가장한 사용자정보 탈취 프로그램 주의!! (9) | 2012.07.16 |
| 시작페이지 변경 및 바로가기를 생성시키는 Pingbacon.exe 악성코드 주의!! (0) | 2012.07.13 |
댓글