고미르 악성코드 분석 보고서
Contents
개요
최근 북한 해킹조직 킴수키(Kimsuky) 관련 악성코드가 ASKURL BOT 에 의해 발견되고 있다.
북한 해킹조직 킴수키(Kimsuky)는 대한민국 기관 및 기업을 타겟으로 정보탈취 공격을 적극적으로 행하고 있는 APT 단체이다.
최근 킴수키가 Troll stealler 배포에 사용한 것으로 추정되는 GoBear 백도어의 리눅스용 변종인 Gomir 백도어가 발견되어 이들의 위협 행위가 윈도우 뿐만 아니라 리눅스 운영체제까지 확대되었음을 알 수 있다.
Gomir 의 전체적인 행위 흐름은 아래 도식도와 같다.
Command Line 에 “install" 문자열 존재할 경우 지속성 등록
실행시 Command Line에 "install" 문자열 존재 여부 및 root 권한 확인을 진행한다.
install 문자열이 존재할 경우 권한에 따라 다른 방법으로 지속성 등록을 하는데 root 권한일 경우 syslogd 라는 이름의 서비스로 등록하고 서비스 재시작 후 자가삭제 및 종료한다.
root 권한이 아닐 경우 재부팅시 실행되도록 cron으로 등록하고 $SHELL 또는 /bin/sh을 통해 해당 악성코드를 새 프로세스로 실행한 뒤, 자가삭제 및 종료한다.
root 권한이 아닐 경우 재부팅시 실행되도록 cron으로 등록하고 $SHELL 또는 /bin/sh을 통해 해당 악성코드를 새 프로세스로 실행한 뒤, 자가삭제 및 종료한다
Command Line 에 “install" 문자열 존재하지 않을 경우
사용자 계정 …
최근 북한 해킹조직 킴수키(Kimsuky) 관련 악성코드가 ASKURL BOT 에 의해 발견되고 있다.
북한 해킹조직 킴수키(Kimsuky)는 대한민국 기관 및 기업을 타겟으로 정보탈취 공격을 적극적으로 행하고 있는 APT 단체이다.
최근 킴수키가 Troll stealler 배포에 사용한 것으로 추정되는 GoBear 백도어의 리눅스용 변종인 Gomir 백도어가 발견되어 이들의 위협 행위가 윈도우 뿐만 아니라 리눅스 운영체제까지 확대되었음을 알 수 있다.
Gomir 의 전체적인 행위 흐름은 아래 도식도와 같다.
Command Line 에 “install" 문자열 존재할 경우 지속성 등록
실행시 Command Line에 "install" 문자열 존재 여부 및 root 권한 확인을 진행한다.
install 문자열이 존재할 경우 권한에 따라 다른 방법으로 지속성 등록을 하는데 root 권한일 경우 syslogd 라는 이름의 서비스로 등록하고 서비스 재시작 후 자가삭제 및 종료한다.
root 권한이 아닐 경우 재부팅시 실행되도록 cron으로 등록하고 $SHELL 또는 /bin/sh을 통해 해당 악성코드를 새 프로세스로 실행한 뒤, 자가삭제 및 종료한다.
root 권한이 아닐 경우 재부팅시 실행되도록 cron으로 등록하고 $SHELL 또는 /bin/sh을 통해 해당 악성코드를 새 프로세스로 실행한 뒤, 자가삭제 및 종료한다
Command Line 에 “install" 문자열 존재하지 않을 경우
사용자 계정 …
IoC
216.189.159.34
30584F13C0A9D0C86562C803DE350432D5A0607A06B24481AD4D92CDF7288213
93edc15a20aac8b5193e5b22e35dbb09848e2ca0
e562cf30d17d47347c7e6ffd249fc190
http://216.189.159.34/mir/index.php
30584F13C0A9D0C86562C803DE350432D5A0607A06B24481AD4D92CDF7288213
93edc15a20aac8b5193e5b22e35dbb09848e2ca0
e562cf30d17d47347c7e6ffd249fc190
http://216.189.159.34/mir/index.php