티스토리 뷰
SNS를 통해 수집된 위협정보를 공유드립니다. 다음 주 국회의원 선거가 다가오자 공격자들이 Word를 활용한 미끼 문서를 유포하고 있습니다. 현재는 공개된 C2들이 모두 단절되었거나 파일이 비어있지만 주의가 필요합니다. 이 파일과 더불어 "외교문서 관련(***국장).docx" 이라는 파일이 유포되고 있으며, C2 경로만 약간 다른 것으로 확인됐습니다.
C2가 단절되어 추가 파일은 확인하지 못해서 아쉽지만, SNS에 미리 샘플을 확보하고 분석한 분들이 공개[1][2]한 IOC 정보를 하단에 공유해드리겠습니다.
실행 시 C2가 현재 단절되어 (Figure 2)와 같이 보이지만, 단절되지 않았을 경우 문서가 제대로 보일 것으로 추정됩니다. 또한, 두 파일의 이미지를 Hash 비교를 해보니 같은 것으로 확인되었습니다.
워드 속성 확인결과, 두 파일 모두 Robot Karll 이라는 작성자로 2020-03-31, 2020-04-03 오전 9시경에 마지막으로 수정한 것으로 확인됐습니다. (조작되었을 가능성도 있음)
(Figure 6) ~ (Figure 9)까지는 두 개의 파일이 요청하는 C2 정보가 존재하는 settings.xml 파일의 내용과 네트워크 정보입니다. 경로는 조금씩 상이한 것으로 보입니다.
추가적으로, SNS, 분석 블로그에서 공개한 정보[1][2]에 따르면, 다운로드된 악성코드는 KMSAuto로 위장해 작업 스케줄러에서 새 작업을 생성하는 지속성 메커니즘을 사용했으며, 피해자의 정보를 수집해 아래 URL로 전송한다고 합니다.
http://saemaeul.mireene[.]com/skin/board/basic/bin/report[.]php
[IOC]
http://saemaeul.mireene[.]com/skin/visit/basic/log
http://saemaeul.mireene[.]com/skin/board/basic/bin/
http://saemaeul.mireene[.]com/skin/board/basic/bin/data[.]txt
http://saemaeul.mireene[.]com/skin/board/basic/bin/report[.]php
dbbdcc944c4bf4baea92d1c1108e055a7ba119e97ed97f7459278f1491721d02
adcdbec0b92da0a39377f5ab95ffe9b6da9682faaa210abcaaa5bd51c827a9e1
fa89eb6d1618d014e04ea7eabe5de82bd94163414e3ec07c2f26964011abdfb8
36339e43abf2f6fb8904235eb3e9a1872783dcbfe466f46872ff3a22274b741f
[참고]
[1] https://twitter.com/vigilantbeluga/status/1248168443888545792
[2] https://asec.ahnlab.com/1312
'리버싱 > 윈도우 악성코드 분석' 카테고리의 다른 글
악성코드 분석(암호화폐 거래소(플라이빗-Flybit) 타겟 스피어피싱 공격) (0) | 2020.04.29 |
---|---|
악성코드 분석("[조회]비트코인 투자 카페 강퇴&활동정지" 악성 한글문서) (0) | 2020.04.29 |
악성코드 분석(2020 상반기 한국수력원자력 채용공고 사칭 악성 한글문서) (1) | 2020.04.28 |
악성코드 분석(전라남도 코로나바이러스 대응 긴급 조회.hwp) (0) | 2020.04.09 |
[SNSLocker] 랜섬웨어 샘플 분석보고서 by suspect (3) | 2016.07.15 |
- Total
- Today
- Yesterday
- us-cert
- 스피어피싱
- 한글악성코드
- idapython
- 해킹메일
- 출처 : Do it 안드로이드 프로그래밍
- Kimsuky
- Flybits
- cuckoo-sandbox
- MS-Office
- infostealer
- AMSI
- Decoding
- keylogger
- Bisonal
- VirusBulletin
- .wll
- koodous
- 악성코드
- 비트코인
- CVE-2018-0798
- 멋쟁이사자처럼 4기
- vuln
- Static Analysis Engine
- Servey
- malware
- Cisco Talos
- Yara
- 위협정보공유
- CVE-2018-9375
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |