'2018/08'에 해당되는 글 3건

  1. 2018.08.28 GandCrab v4.3 Ransomware
  2. 2018.08.12 PAC(Proxy Auto-Config)를 이용한 파밍
  3. 2018.08.05 Process Hollowing 기법

[1] Infomation

파일명 : [임의의 파일명].exe

크기 : 131,584 bytes

MD5 : 9f1aeca41d2da7ef2a441961077474f1

 

[2] GandCrab v4.3

GandCrab v4.3 에서는 이전의 버전과 아래와 같은 차이를 보인다.

 

GandCrab v4.1.2 에 대한 암호화 차단 방법(Kill-Switch)을 배포한데 따른 아래와 같이 보복성 메시지를 담고 있다.

추가적으로, Ahnlab V3 Lite 제품을 대상을 대상으로 0day exploit 을 이용해 DOS 공격이 가능하다는 메시지도 함께 담고 있다.

hxxp://memesmix[.]net/media/created/dd0doq.jpg


 

 

코드 내부에서도 아래와 같이 V3 Lite 제품을 공격하는 코드가 추가된 것으로 확인된다.

V3 Lite 최신 버전부터는 해당 공격에 영향을 받지 않는다고 한다.

 

 

 

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요

기존의 파밍 악성코드는 DNS 서버 주소와 사용자 PC의 "C:\Windows\System32\drivers\etc" 경로에 있는 hosts 파일과 hosts.ics 파일을 변조하여 사용자를 금융 기관 사이트로 위장한 웹 페이지로 유도했다.

 

2015, 2016년 무렵에 발견된 파밍 악성코드는 백신 제품의 탐지를 우회하고자 PAC(Proxy Auto-Config)를 이용하고 있다.

PAC 스크립트는 웹 캐시에 대한 정보를 브라우저에 설정하지 않고 별도의 파일에 저장하여 특정 서버에 업로드 한 후, PAC 스크립트 경로를 지정하여 사용할 수 있다.

 

파밍 악성코드는 사용자가 특정 URL 에 접속했을 경우, 금융 기관 사이트로 위장한 웹 페이지로 유도하는 PAC 스크립트를 이용한다.

 

※ hosts.ics

ics 파일은 인터넷 연결 공유(ICS : Internet Connection Sharing) 시 해당 시스템의 네트워크 주소를 강제로 지정하는 기능.

hosts.ics 파일은 hosts 파일보다 우선 순위가 높다. 따라서 hosts. 파일을 변조하지 않고, 파밍 기능을 수행할 수 있다.

 

※ PAC(Proxy Auto-Config)란,

: 별도의 프록시 서버 설정없이 특정 URL 에 대해 자동으로 프록시 설정을 해주는 스크립트이다.

 

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요

Process Hollowing

: 정상적인 프로세스를 생성하고, 생성한 프로세스에 악성PE 데이터를 삽입하여 실행하는 기법.

 

1. CreateProcess -> dwCreationFlags(CREATE_SUSPENDED(0x0000004))

프로세스 생성 시, CREATE_SUSPENDED 값을 인자로하여 대기 상태의 프로세스를 생성한다.

 

2. GetThreadContext

TheadContext -> Eip 레지스터를 얻어온다. 이후에 Entry Point 를 수정하기 위함.

 

3. ZwUnmapViewOfSection

대기 상태에 머물러 있는 프로세스에서, 정상 코드를 메모리 상에서 할당 해지한다.

 

4. VirtualAlloc, WriteProcessMemory

새로운 코드를 쓰기 위한 메모리 할당 및 코드 쓰기

 

5. setThreadContext

GetThreadContext 함수를 이용해 얻어온 Eip 레지스터 값을 수정하여, 새로운 코드 섹션 지정

 

6. ResumeThread

대기 상태에 머물러있는 프로세스의 실행 재개.

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요