USB Malware Implicated in Fileless Attacks
8월 초, 수 많은 정식 기능들을 악용한 스크립트인 JS_POWMET.DE를 사용해 파일이 없는 형태로 타겟 시스템에 설치 되는 백도어(BKDR_ANDROM.ETIN)에 대해 연구를 진행한 적이 있었습니다. 그 때는 어떤 방식을 통하여 타겟 기기를 감염시켰는지 알아낼 수 없었습니다. 아마 사용자가 악성코드를 다운로드 했거나 다른 악성코드가 해당 악성코드를 드랍한 것으로 추측하였습니다.
그리고 최근, 해당 백도어가 어떤 방식으로 설치되었는지 알아낼 수 있었습니다. 이는 다운로드 된 것도, 드랍된 것도 아니였으며 USB 플래시 디스크를 통해 전달된것이였습니다.
기술적 세부 사항
이 USB 플래시 디스크는 아래 두 개의 악성 파일들을 포함하고 있었습니다.
- addddddadadaaddaaddaaaadadddddaddadaaaaadaddaa.addddddadadaaddaaddaaaadadddddadda
- IndexerVolumeGuid
%System%\cmd.exe /c start rundll32 {이름이 긴 DLL 파일 },{DLL의 내보내기 기능} 경로로 이동하는 바로가기 파일도 사용될 수 있습니다. 이 바로가기 파일은 이동식 드라이브와 동일한 이름으로 나타날 수 있어, 사용자들이 이를 클릭하도록 속일 수 있습니다.
이후 이 암호 해독의 결과가 메모리에 로드된 후 실행 됩니다. 복호화 툴의 파일명은 이 인스턴스의 암호화 키로써 사용 됩니다. 감염 된 시스템에 어떠한 파일도 저장 되지 않습니다.
복호화 된 코드는 자동 시작 레지스트리 엔트리를 생성하는 역할을 합니다.
<이미지 출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/usb-malware-implicated-fileless-attacks/>
여기서 주목할 만한 점은 두 가지 입니다.
첫번째로, 설치 된 윈도우 버전에 따라 프로세스가 약간씩 다르다는 것입니다. 윈도우 10에서는 레지스트리 엔트리가 생성되어 시스템에 백도어를 다운로드 및 실행하게 됩니다. 하지만 윈도우 구버전들에서는 두 번째 백도어도 ee{랜덤한문자8개}.exe라는 이름으로 %AppData% 폴더에 드랍 됩니다. 바로가기는 사용자의 시작 폴더에도 생성 되어, 이 두번째 백도어가 자동으로 실행 되도록 합니다.
두 번째는 생성 된 레지스트리 엔트리에 포함 된 URL이 다르다는 것입니다. URL 하나는 윈도우 10용, 하나는 윈도우 구버전들 용입니다. 실제 동작에는 차이가 없지만, 사용자의 OS에 따라 다른 공격을 할 수 있게 됩니다.
이 두 번째 백도어는 이 공격에 사용 된 다른 방법들보다 덜 정교하게 만들어졌으며, 그 이유는 확실하지 않습니다.
연구원이나 사용자들은 첫 번째 파일리스 백도어보다 이 두 번째 백도어를 훨씬 쉽게 발견할 수 있습니다. 이 명백한 백도어를 제거함으로써, 파일리스 위협이 탐지 되지 않고 더욱 은밀히 남아있을 수 있습니다.
출처 :
http://blog.trendmicro.com/trendlabs-security-intelligence/usb-malware-implicated-fileless-attacks/
연구원들, mRAT과 관련 있는 새로운 정교한 악성코드인 xRAT 발견 (0) | 2017.09.07 |
---|---|
Apache Struts2 취약점(CVE-2017-9805,S2-052) 발견!, 해커들이 웹 서버를 탈취하도록 허용해 (2) | 2017.09.06 |
미 정부 웹사이트에서 Cerber 랜섬웨어를 배포하는 JavaScript 다운로더 호스팅 해 (0) | 2017.09.05 |
LabVIEW의 패치 되지 않은 취약점, 해커가 당신의 컴퓨터를 하이잭 하도록 허용해 (0) | 2017.08.30 |
WireX DDoS 봇넷: 해킹 된 안드로이드 스마트폰 수 천대로 이루어진 군대 (0) | 2017.08.29 |
댓글 영역