금융권을 타깃으로 한 I사 위장 악성코드
Contents
□ 개요
금융권과 공공기관에 보안 솔루션을 제공하는 I사의 코드서명 정보가 유출돼 악성코드에 악용하여 유표되고 있어 사용자의 각별한 주의가 필요하다.
(1) 입력된 커맨드 값이 존재 할 경우 기본으로 설정된 C&C 주소를 변경해 사용될 수 있도록 제작되었다.
- C&C 주소 : 192.99.223.115:80
(2) C&C 서버와 연결이 성공 할 경우 명령코드를 받아온다.
(3) 받아온 명령코드에 따라 파일 다운로드 및 CMD 명령을 수행 할 커맨드 값을 받아오는 기능을 수행한다.
- 받아온 값 중에 "$download" 가 존재 할 경우 새로운 URL을 통해 파일 다운로드를 수행
- 받아온 데이터에 따른 CMD 명령 수행 및 결과 값을 C&C 서버로 전송한다.
2. malware 2
[악성코드 도식도]
(1) 실행된 커맨드 라인에서 인자값인 /run이 존재하는지 확인한다
(2) 인자값인 /run이 존재하지 않을 경우 특정 디렉토리에 자기자신을 복사한다.
- 생성위치
- C:\\Program Files\\Common Files\\Graphics
- C:\\ProgramData\\Graphics\\
- 파일명 : guifx.exe
(3) 파일 뒤에 랜덤한 데이터를 붙힌 뒤 /run 옵션을 주고 실행한다.
(4) 자동실행을 위해 레지스트리에 등록한다
- 경로 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- 키 : Graphics
(5) cmd를 이용해 자기자신을 삭제한 뒤 종료한다.
(6) /run 옵션을 주고 실행하게 되면 중복실행을 방지하기 위해 뮤텍스를 생성한다.
- 뮤텍스명 …
금융권과 공공기관에 보안 솔루션을 제공하는 I사의 코드서명 정보가 유출돼 악성코드에 악용하여 유표되고 있어 사용자의 각별한 주의가 필요하다.
(1) 입력된 커맨드 값이 존재 할 경우 기본으로 설정된 C&C 주소를 변경해 사용될 수 있도록 제작되었다.
- C&C 주소 : 192.99.223.115:80
(2) C&C 서버와 연결이 성공 할 경우 명령코드를 받아온다.
(3) 받아온 명령코드에 따라 파일 다운로드 및 CMD 명령을 수행 할 커맨드 값을 받아오는 기능을 수행한다.
- 받아온 값 중에 "$download" 가 존재 할 경우 새로운 URL을 통해 파일 다운로드를 수행
- 받아온 데이터에 따른 CMD 명령 수행 및 결과 값을 C&C 서버로 전송한다.
2. malware 2
[악성코드 도식도]
(1) 실행된 커맨드 라인에서 인자값인 /run이 존재하는지 확인한다
(2) 인자값인 /run이 존재하지 않을 경우 특정 디렉토리에 자기자신을 복사한다.
- 생성위치
- C:\\Program Files\\Common Files\\Graphics
- C:\\ProgramData\\Graphics\\
- 파일명 : guifx.exe
(3) 파일 뒤에 랜덤한 데이터를 붙힌 뒤 /run 옵션을 주고 실행한다.
(4) 자동실행을 위해 레지스트리에 등록한다
- 경로 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- 키 : Graphics
(5) cmd를 이용해 자기자신을 삭제한 뒤 종료한다.
(6) /run 옵션을 주고 실행하게 되면 중복실행을 방지하기 위해 뮤텍스를 생성한다.
- 뮤텍스명 …
IoC
165.194.123.67
192.99.223.115
192.99.223.115