카스퍼스키(Kaspersky), 북한 소행 APT 공격(Kimsuky Operation) 분석 리포트

반응형
728x90

 


세계적인 러시아 보안회사 카스퍼스키(Kaspersky)가 한국 정부 및 정치기관, 연구소, 기업, 국방관련인원등 한국의 
주요기관을 대상으로 한 북한발 APT 공격(Kimsuky Operation)에 대한 분석 리포트를 공개하였다.

 


 

초기 징후는 2013년 4월 3일이며, Trojan.Win32.Kimsuky 샘플은 2013년 5월 5일에 최초 발견되었다고 한다.

 


 

관련 된 정보는 아래와 같다.

 

 


국내 보안업체도 맞추지 못한 퍼즐을 외국 보안업체가 했다는것이 놀랍기도 하고,

 

한편으로는 조금 창피한 것도 사실이다.

 


 

좀 더 파일 하나하나 자세하게 살펴보고 싶은마은은 굴뚝같지만, 파일이 어디 한두개인가 ㅠㅠ

 

아쉽지만 마음속에만 반성하고 이 포스팅을 이어가자!!

 


 

이번 APT공격(Kimsuky Operation)의 주요 증상은 아래와 같다.

 

 

 

 

- 키로깅 (사용자 정보 수집)
- 디렉토리/파일 목록 수집 (PC드라이버 정보 및 파일리스트, 시스템정보 수집)
- 한글(HWP) 문서 탈취 (모든 HWP 한글파일 수집)
- 원격 제어 모듈 다운로드 및 수행 (TeamViewer 프로그램 변조 및 악성파일 다운로드)
- 원격 제어 연결

 


 

좀더 상세한 분석보고서는 아래 카스퍼스키 블로그에서 확인 할 수 있다

 

- [분석 리포트] 북한인의 대한민국 내 주요 기관을 대상으로 한 APT 공격의 결정적 징후

 

원본링크 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=789
 

 

지난 몇 달 동안 우리는 대한민국의 주요 기관을 대상으로 한 사이버 스파이 활동을 모니터링 해 왔으며, 이 스파이 활동은 지금까지도 진행 중입니다. 이 스파이 활동이 계획과 실행에 있어서 주목할만하다고 생각되는 몇 가지 이유가 있습니다. 어느 날 우리는 무료 메일서버를 통해 "마스터"와 통신하는 다소 단순한 스파이 프로그램을 발견하였습니다.
 
그렇지만, 우리의 주목을 끄는 몇 가지 흥미로운 점이 있었습니다.
 
• 불가리아 무료 이메일 서버인 mail.bg가 사용되었다. 
• 컴파일 경로에 한글이 포함되어 있다.

한글이 사용되었고 불가리아 이메일을 명령-제어 통신에 사용한다는 두 가지 사실이 우리에게 해당 악성코드를 좀 더 자세히
분석해야 할 필요가 있음을 알려 주었습니다.

다음과 같이 악성코드 내에 포함된 절대 경로에 한글이 포함되어 있습니다.


D:\rsh\공격\UAC_dll(완성)\Release\test.pdb

 

"rsh"은 "Remote Shell"의 약자로 추측됩니다.
 
피해자의 대부분을 정확히 알 수는 없었지만, 우리는 몇몇 대상을 식별할 수 있었으며, 이 활동에 의해 감염이 확인된 몇몇 기관은 다음과 같습니다; 세종연구소, 국방연구원, 통일부, 현대상선
 
아울러 몇몇 단서는 "통일을 생각하는 사람들의 모임((http://www.unihope.kr/)"의 컴퓨터들이 이 공격에 효과적으로 대응을 하지
못했다는 것 또한 알려주고 있습니다. 이외의 다른 기관들도 공격 대상이 되었는데, 총 피해 기관 중 11개는 대한민국이고 2개는
중국이었습니다.
 
이 공격은 매우 제한적이며 소수의 기관을 대상으로 하고 있기 때문에, 우리는 이 악성코드의 배포 경로를 확인할 수 없었으며, 
모니터링을 시작하면서 우리가 발견한 이 악성코드 샘플은 대부분 피싱 이메일을 통해 배포되는 초창기 악성코드 형태를 가지고
있었습니다.
 
 시스템 감염 방법

최초 구동 프로그램은 실제 악성코드를 로딩하기 위한 DLL입니다. 그것은 익스포트된 상태를 유지하지 않고, 간단히 자신의 리소스 섹션에 다른 암호화된 라이브러리를 전달하는 역할을 하는데, 이 두 번째 라이브러리가 모든 스파이 기능을 수행합니다.
 
윈도우7에서 동작할 때, 악성 라이브러리는 explorer.exe에 악성코드를 인젝션시키기 위해 Metasploit Framework의 오픈 소스
코드인 Win7Elevate를 재사용합니다. 윈도우7이건 아니건, 이 악성코드는 리소스로부터 자신의 스파이 라이브러리를 복호화하여 디스크에 임의의 이름으로 저장합니다. 예를 들어, 사용자의 임시 폴더에 ~DFE8B437DD7C417A6D.TMP 파일 등으로 저장된 후 라이브러리로서 로드됩니다.
 
다음 단계에서 이 라이브러리는 KBDLV2.DLL 또는 AUTO.DLL 등의 이름으로 System32 폴더에 복사됩니다. 다음으로 dll을 서비스하기 위한 서비스가 생성되는데, DriverManage, WebService 및 WebClientManager 등의 이름이 사용됨을 알 수 있었습니다.
이렇게 함으로써 시스템 재부팅 시 백신 등의 보안 프로그램이 동작하지 않는 경우 악성코드가 지속적으로 실행되는 것을 보장받게 됩니다.
 
이 단계에서 악성코드는 감염된 컴퓨터에 대한 정보를 수집하는데, systeminfo 명령어를 실행시킨 후 출력되는 정보를C:\Program Files\Common Files\System\Ole DB\oledvbs.inc파일에 저장하는 행위 등이 포함됩니다. 또한 컴퓨터 이름과 사용자 이름을 포함하는 스트링을 생성하기 위한 다른 함수가 호출되는데, 이는 어디에서도 실제로 사용되지 않기 때문에 악성코드 제작자의 실수인 것으로 보여집니다. 이 단계는 감염된 시스템이 처음 동작할 때 오직 한번만 실행되며, 시스템이 시작될 때, svchost.exe 프로세스에 의해 악성코드 라이브러리가 로딩된 후 스파이 활동을 수행하게 됩니다.
 
 
 
스파이 모듈

이 활동에는 다수의 악성코드가 동원되지만, 전략적으로 그들은 모두 하나의 스파이 기능을 위해 구현되었습니다. 이 활동에서
마스터와 통신을 담당하는 기본 라이브러리(KBDLV2.DLL / AUTO.DLL) 이외에, 우리는 다음의 기능을 수행하는 모듈을 발견할 수 있었습니다;
 
• 키스트록 로깅
• 디렉토리/파일 목록 수집
• HWP 문서 탈취
• 원격 제어 모듈 다운로드 및 수행 
• 원격 제어 연결
 
 
방화벽 무력화

시스템이 시작할 때, 기본 라이브러리는 다음과 같이 레지스트리 내 관련 값을 0으로 만들어서 시스템 방화벽과 안랩의 방화벽을
무력화합니다;

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    EnableFirewall = 0
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
    EnableFirewall = 0
HKLM\SOFTWARE\AhnLab\V3IS2007\InternetSec
    FWRunMode = 0
HKLM\SOFTWARE\Ahnlab\V3IS80\is
    fwmode = 0
 
또한, 무력화된 방화벽에 대해 사용자에게 경고하는 것을 막기 위해 윈도우 보안센터 서비스를 끕니다.
 
악성코드 제작자가 안랩의 보안 제품을 선택하여 무력화하는 것은 결코 우연이 아닙니다. Winnti 연구 기간 동안인 2011년에 SK 컴즈 사고를 자세히 살펴보면 (http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game 참조), 이 회사가 외국계 보안제품을 사용했다는 이유로 대한민국의 당국자에게 심각하게 비판을 받았음을 알 수 있습니다. 우리는 이러한 비판이 대한민국 기업에 어떠한 영향을 주었는지 알 수 없지만, 많은 대한민국 기업들이 안랩의 보안 제품을 사용하고 있다는 것은 알고 있습니다.
 
이런 이유로, 공격자들은 오로지 대한민국만을 그들의 목표로 삼았기 때문에 외국계 회사의 제품을 무력화하기 위한 시도를 하지 않은 것입니다.
 
한번 악성코드가 안랩 방화벽을 무력화하면, taskmgr.exe 파일이 하드코딩된 C:\WINDOWS\ 폴더에 존재하는지를 확인한 후 이를 실행합니다. 이 후, 악성코드는 매 30분마다 자신에게 보고를 반복하면서 명령을 기다립니다.
 
 
통신

봇과 공격자 사이의 통신은 불가리아의 무료 이메일 서버인 mail.bg를 이용합니다. 봇은 이메일 계정에 대한 하드코딩된 인증 정보를 포함하고 있으며, 인증 절차를 통과한 후, 악성코드는 또 다른 지정된 이메일 주소로 이메일을 전송하고 수신함의 이메일을 읽어 들입니다. 이들 모든 활동은 시스템의 Wininet API 함수를 사용한 mail.bg 웹-인터페이스를 통해 수행됩니다. 우리가 입수한 모든 샘플로부터 본 활동에 이용된 다음과 같은 이메일 계정을 추출할 수 있었습니다;
 
beautifl@mail.bg
ennemyman@mail.bg
fasionman@mail.bg
happylove@mail.bg
lovest000@mail.bg
monneyman@mail.bg
sportsman@mail.bg
veryhappy@mail.bg

위에서 언급한 mail.bg 계정 이외에 봇이 사용한 두 개의 이메일 주소가 아래에 있는데, 이 이메일 주소를 이용하여 감염된 시스템의 정보와 상태를 첨부 파일로 보고합니다.
 
iop110112@hotmail.com
rsh1213@hotmail.com
 
 
통상적인 보고

감염 상태를 보고하기 위해 악성코드는 systeminfo 명령어의 출력 내용을 보관하고 있는  C:\Program Files\Common Files\System\Ole DB\oledvbs.inc 파일을 읽어 들이는데, 만약 해당 파일이 존재하면 읽은 후 삭제합니다.
 
다음으로, 동일한 폴더 내 sqlxmlx.inc 파일로부터 사용자 관련 정보를 읽습니다(우리는 코드 내에 "UserID" 해설 부분을 볼 수 있습니다). 그러나 이 파일은 결코 생성되지 않으며, 단지 이러한 데이터를 수집하고sqlxmlx.inc 파일에 저장하는 함수가 존재할 뿐입니다. 그렇지만, 첫 번째 실행 단계에서 수집된 사용자 정보는 “xmlrwbin.inc” 에 저장되기 때문에, 악성코드 제작자가 실수로 다른
파일에 사용자 정보를 저장하도록 봇을 코딩했을 가능성이 높습니다. 우리는 사용자 정보가 저장될 sqlxmlx.inc가 생성되지
않는다는 것을 알고 있습니다. 그러나 만약 그 파일이 존재한다면, 악성코드는 그 파일을 읽고 지울 것입니다. 이러한 엉성함은
악성코드가 급히 만들어졌거나, 아마추어에 의해 제작되었음을 나타낼 수 있습니다.
 
다음으로, 가로챈 키스트록을 파일로부터 읽어 마스터로 전송합니다. 키스트록은 일반적이고 일관된 형식(어떤 키가 눌려졌는지와 함께 키보드 자판의 실제 시퀀스)으로 파일에 저장되어 보관됩니다. 이 데이터는 외부 키로거 모듈이 생성한 C:\Program Files\Common Files\System\Ole DB\msolui80.inc 파일에서 찾을 수 있습니다.
 
이 모든 데이터는 하나의xmlrwbin.inc 파일로 합쳐져서 RC4로 암호화됩니다. RC4의 키는 임의로 생성된 75h 바이트 버퍼의  MD5 해시로 생성됩니다. 데이터의 복호화를 위해서는, 공격자는 MD5 해시값이나 버퍼의 모든 내용을 정확히 알아야 합니다. 이 데이터 또한 RSA로 암호화되어 전송됩니다. 악성코드는 1120 비트의 공개키를 생성하고 이를 75h 바이트 버퍼를 암호화하는데 사용합니다. 다음으로 다소 특이한 크기와 방법으로 전송될 모든 데이터를 0x80 바이트 버퍼에 담아 연결하는데, 결과 데이터는C:\Program Files\Common Files\System\Ole DB\ 경로에 다음 형식을 따르는 이름으로 저장합니다;
 
"[system time]_[account at Bulgarian email server].txt", 예를 들면, "08191757_beautifl@mail.bg.txt".

해당 파일은 이후에 이메일에 첨부되어 마스터의 이메일 계정으로 전송되며, 전송 후에는 피해 시스템에서 즉시 삭제됩니다. 
 
 
마스터로부터의 데이터 수신

악성코드는 또한 메일 서버로부터 명령을 가져오는데, 특정 제목이 붙은 불가리아 이메일 계정의 메일을 체크합니다. 우리는 이와 관련한 몇몇 제목 테크를 확인하였습니다: Down_0, Down_1, Happy_0 and ddd_3 . 첨부파일이 있는 이메일을 발견하면, 악성코드는 해당 첨부파일을 다운로드하여C:\Program Files\Common Files\System\Ole DB폴더에 “msdaipp.cnt”  파일로 저장합니다. 공격자는 이 같은 방법으로 추가적인 실행코드를 전송할 수 있습니다. 실행파일은 RC4로 암호화된 후 첨부되며, 복호화에 사용될 키는 악성 코드 샘플에 하드코딩되어 있습니다. 모든 알려진 샘플에 동일한 “rsh!@!#” 문자열이 포함되어 있고 이를 RC4 키를 생성하는데 이용한다는 점이 매우 흥미롭습니다. 앞서 설명한 바와 같이, 악성코드는 이 문자열의 MD5를 계산한 후, 실행코드를 복호화하기 위한 RC4로 해시하는데 사용합니다. 다음으로, 복호화된 실행코드를 “sqlsoldb.exe” 이름으로 디스크에 저장한 후 실행하고, “taskmgr.exe”로 이름이 변경됩니다. 이후 오리지날 이메일과 첨부파일은 불가리아 이메일 수신함에서 삭제됩니다.
 

키로거

추가적인 키로거 모듈은 크게 흥미롭지 않습니다-- 간단하게 키스트록을 가로채어 눌려진 키를 C:\Program Files\Common Files\System\Ole DB\msolui80.inc 파일에 저장하며, 사용자가 키를 눌렀을 때의 활성 윈도우 이름도 기록합니다. 우리는 이와 동일한 형태를 Madi 악성코드에서도 볼 수 있습니다. 키스트록을 C:\WINDOWS\setup.log 에 기록하는 키로거 변형도 존재합니다.
 
 
디렉토리/파일 목록 수집기

감염 시스템으로 전송되는 다음 프로그램은 시스템의 모든 드라이브에 대하여 다음의 명령어를 실행합니다; 

dir [drive letter]: /a /s /t /-c

실제로, 이 명령어는C:\WINDOWS\msdatt.bat 파일로 기록되며, 화면 출력이 C:\WINDOWS\msdatl3.inc 파일에 저장됩니다.
결과적으로, 저장된 파일은 드라이브의 모든 폴더에 있는 모든 파일의 목록을 담고 있기 때문에, 악성코드는 나중에 그 데이터를
읽어서C:\Program Files\Common Files\System\Ole DB\oledvbs.inc 파일 내용에 추가합니다. 이 시점에서, “oledvbs.inc “ 는
이미systeminfo 출력을 저장하고 있습니다.
 
 
 
HWP 문서 탈취

이 모듈은 감염된 컴퓨터에서 HWP 문서를 가로챕니다. HWP 파일 형식은 MS Word 문서와 유사하지만, 아래아 한글에 의해서 지원되며 한컴오피스의 번들인 한글워드프로세서로서 대한민국에서 매우 폭넓게 사용됩니다. 이 악성코드 모듈은 다른 모듈과는
독립적으로 동작하며, 자신만의 불가리아 이메일 계정을 가지고 있는데, 계정은 가로챈 문서를 전송하는 마스터의 전자메일과 함께 모듈 내에 하드코딩되어 있습니다. 모듈이 감염된 컴퓨터의 모든 HWP 파일을 검색하지 않고 사용자가 오픈한 문서에만 반응하여 탈취한다는 점이 흥미롭습니다.  이 같은 특징은 문서 탈취 모듈에서는 매우 특이한 점이며, 다른 악성코드 툴킷에서는 볼 수 없는 특징입니다.
 
프로그램은 자신을 [Hangul full path]\HncReporter.exe로 복사하고 HWP 문서를 오픈하는데 사용되는 기본 프로그램으로
레지스트리 관련 정보를 수정합니다.
 
HKEY_CLASSES_ROOT\Hwp.Document.7\shell\open\command
또는
HKEY_CLASSES_ROOT\Hwp.Document.8\shell\open\command

기본적으로 .HWP 파일의 연결 프로그램은 "Hwp.exe"로 지정되어 있는데, 레지스트리 내 관련 정보는 "[Hangul full path]\Hwp.exe" "%1" 와 같습니다. 그러나 악성코드는 이 정보를 "[Hangul full path]\HncReporter.exe" "%1" 로 수정합니다. 따라서, 사용자가 임의의 .HWP 문서를 오픈할 때, 악성코드 프로그램 자신이 .HWP 문서를 오픈하기 위해 실행됩니다. 이는 레지스트리를 수정했기 때문에 가능합니다. HWP 문서가 읽혀지면 "Hwp"라는 제목의 이메일 첨부파일로 공격자에게 전달됩니다. 전송 후 악성코드는 사용자가 요청한 .HWP 문서를 실제 아래아 한글 워드프로세서인 "Hwp.exe"를 실행함으로써 오픈하게 됩니다. 이는, 피해자 대부분이 .hwp 파일이 탈취되었음을 알 수 없다는 것을 의미합니다. 모듈의 전송 루틴은C:\Program Files\Common Files\System\Ole DB 폴더
내 다음의 파일에 따라 달라집니다: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt and oledjvs.inc
 
 
원격 제어 모듈 다운로더

나머지 프로그램은 특정 제목으로 수신된 이메일의 첨부 파일을 다운로드하기 위한 용도입니다. 이 프로그램은 주(pivot) 모듈과
유사하지만, 하드코딩된 불가리아 이메일 계정, 로그인, 수신 이메일 읽기 및 "Team"이라는 제목 태그 검색 등으로 기능이 축소되었습니다. 이러한 이메일이 발견되면 첨부 파일을 로드하여 하드디스크 내C:\Program Files\Common Files\System\Ole DB\taskmgr.exe 파일로 저장하고 실행시킵니다. 이 경우는 실행 파일이 암호화 없이 전달됩니다.
 
 
원격 제어 모듈

악성코드 제작자가 백도어 프로그램을 스스로 제작한 것이 아니라는 점 또한 흥미롭습니다. 대신에, 제작자는TeamViewer client version 5.0.9104을 수정하였는데, 공격자에 의해 이메일로 전달된 원격 제어 모듈 관련 실행파일은 3개의 실행파일로 구성되어
있습니다. 그 중 두개는 팀뷰어 컴포넌트이고 나머지는 몇 종류의 백도어 로더입니다. 드로퍼는 다음과 같은 세 개의 파일을C:\Windows\System32 디렉토리에 생성합니다;

      netsvcs.exe – 수정된 팀뷰어 클라이언트 
      netsvcs_ko.dll – 팀뷰어 클라이언트의 리소스 라이브러리
      vcmon.exe – 설치기/실행기

이 후  “Remote Access Service” 서비스를 생성하여, 시스템이 부팅될 때C:\Windows\System32\vcmon.exe가 실행되도록 합니다. vcmon.exe가 실행될 때마다, 다음과 같이 레지스트리 관련 값을 0으로 만들어 안랩의 방화벽을 무력화합니다;

HKLM\SOFTWARE\AhnLab\V3 365 Clinic\InternetSec
      UseFw = 0
      UseIps = 0

다음으로, 팀뷰어 관련 레지스트리 설정을 수정합니다. 이미 언급한 바와 같이, 이 활동에 사용되는 팀뷰어 컴퍼넌트는 오리지날
버전이 아니라   수정된 버전입니다. 우리는 모두 두 가지의 변형된 버전을 발견했습니다. 악성코드 제작자는 팀뷰어 컴퍼넌트
내 모든 “Teamviewer” 문자열을 바꾸는데, 첫 번째 경우는“Goldstager” 문자열이고 두 번째는“Coinstager” 문자열이 사용됩니다. 팀뷰어 클라이언트 레지스트리 설정을 다음과 같습니다; HKLM\Software\Goldstager\Version5 및 HKLM\Software\Coinstager\Version5

실행기는 원격 접근 도구가 어떻게 동작할 지와 관련한 몇몇 레지스트리 값을 설정합니다. 그 중 하나가 SecurityPasswordAES입니다. 이 파라미터는 팀뷰어 클라이언트에 접근해야 하는 원격 사용자 패스워드의 해시를 나타냅니다. 이 방법으로 공격자는 이미 공유된 인증 정보를 설정하고, 이후에 스타터가 팀뷰어 클라이언트 netsvcs.exe를 실행합니다.
 
 
Kim (김)
드롭박스 메일 계정 iop110112@hotmail.com와  rsh1213@hotmail.com가 "kim"으로 시작하는 "kimsukyang" 과 "Kim asdfa"라는 이름으로 등록되어 있다는 것은 매우 흥미롭습니다.
 
물론 우리는 이것이 공격자의 실제 이름인지는 확신할 수 없습니다. 그렇지만, 이렇게 선택한 경우는 흔하지 않기 때문에, 아마도
공격의 시작이 북한인임을 나타냅니다. 피해자의 프로파일을 살펴보면 - 대한민국 내 국제협력 관련 연구기관, 국방 정책 연구기관, 대형 해운사, 통일 지원 단체 - 인 것으로 보아 공격자가 북한인일 것이라 추측합니다.
 
공격 대상은 완벽하게 공격자의 관심 거리입니다. 한편으로, 임의의 등록 정보를 입력하여 공격자에 대한 잘못된 조사를 유도하는 것은 그리 어렵지 않습니다. 가짜 등록 정보를 만들고 Hotmail 등록에 "kimsukyang"을 사용하는데 어떤 비용도 들지 않기 때문입니다. 우리는 이 등록 정보가 공격자에 대한 확실하고 명백한 정보를 제공하지 않는다고 인정합니다.
 
그렇지만, 우리는 나중에 공격자의 소스 IP 주소에 관심을 가졌습니다. 총 10개의 IP 주소가 존재하였으며,
이들 모두 중국의 지린성 및 랴오닝성의 IP 주소입니다.
 
 
공격자의 활동 영역과 관련된 다른 IP 주소 영역은 발견되지 않았습니다. 아울러 이들 지역에서 인터넷 접근을 제공한 ISP 들은
북한과 회선을 유지하고 있다는 소문도 있습니다. 결국, 이러한 지리적 위치는 북한인이 대한민국 내 주요 기관을 대상으로 한 공격의 책임이 있다는 이론을 뒷받침하고 있습니다.
 
 
부록

관련 모듈의 MD5:

주 모듈 드로퍼:

0x173c1528dc6364c44e887a6c9bd3e07c
0x191d2da5da0e37a3bb3cbca830a405ff
0x5eef25dc875cfcb441b993f7de8c9805
0xb20c5db37bda0db8eb1af8fc6e51e703
0xface9e96058d8fe9750d26dd1dd35876

주 모듈:

0x45448a53ec3db51818f57396be41f34f
0x4a1ac739cd2ca21ad656eaade01a3182
0x637e0c6d18b4238ca3f85bcaec191291
0x80cba157c1cd8ea205007ce7b64e0c2a
0xb3caca978b75badffd965a88e08246b0
0xdbedadc1663abff34ea4bdc3a4e03f70

키 로거:

0x3ae894917b1d8e4833688571a0573de4
0x8a85bd84c4d779bf62ff257d1d5ab88b
0xf1389f2151dc35f05901aba4e5e473c7

디렉토리/파일 목록 수집:

0x3baaf1a873304d2d607dbedf47d3e2b4
0x3195202066f026de3abfe2f966c9b304

HWP 문서 탈취기:

0xd0af6b8bdc4766d1393722d2e67a657b

원격 제어 모듈 다운로더:

0x9f7faf77b1a2918ddf6b1ef344ae199d
Remote control bundle dropper:
0x96280f3f9fd8bdbe60a23fa621b85ab6

원격 제어 모듈 로더:

0x122c523a383034a5baef2362cad53d57
0x2a0b18fa0887bb014a344dc336ccdc8c

수정된 팀뷰어 클라이언트 및 리소스 라이브러리:

0xab73b1395938c48d62b7eeb5c9f3409d
0x69930320259ea525844d910a58285e15

카스퍼스키랩 안티바이러스는 수정된 팀뷰어 클라이언트 이외의 악성코드를 Trojan.Win32.Kimsuky, 수정된 팀뷰어 클라이언트 컴포넌트를 Trojan.Win32.Patched.ps 로 진단합니다.

 

 

해당 악성파일들을 알약에서는 아래와 같이 탐지한다.
(Backdoor.Agent.77824.C, Spyware.Infostealer.36864.A, Trojan.Agent.102400.A, Trojan.Agent.162304, Trojan.Agent.ntmsvcs,
 
Trojan.Agent.HncReporter,  Trojan.Agent.Tader, Trojan.Downloader.77824, 
Trojan.Dropper.Agent.77824.C,  Trojan.Keylogger.36864)

 

 

반응형

댓글(0)

Designed by JB FACTORY