북한이 사용한 악성 프로그램 유령쥐
Contents
북한이 사용한 악성 프로그램 ‘유령쥐’
1. 개요
지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다.
실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은 Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다.
2. 분석 정보
2-1. 파일 정보
구분
내용
파일명
svchsot.exe
파일크기
106,496 byte
진단명
Backdoor/W32.Zegost.106496
악성동작
C&C, 백도어, 키로거
2-2. 유포 경로
2-3. 실행 과정
최초 실행 시 %WINDIR%\[임의6글자]\svchsot.exe 로 자신을 복제하고 작업 스케줄러를 통해 매시간 자동실행 되도록 설정한다. 이후 악성동작은 메모리상에만 존재하는 .dll 파일에서 이뤄진다. 이후 하기의 C&C서버에 접속하여 악성동작을 수행하나 현재 서버가 차단되어 실제 동작은 하지 않는다.
[그림] 메모리상에만 존재하는 .dll 파일
h****0.g***y.net:6000
com.g****2.com:6000
com1.g****2.com:6000
[표] C&C 서버 주소
[그림] 메모리상에만 존재하는 .dll 파일
|
|
h****0.g***y.net:6000
|
|
com.g****2.com:6000
|
|
com1.g****2.com:6000
[표] C&C 서버 주소
3. 악성 동작
3-1. PC정보 전송
감염 PC의 세부 정보를 악성 서버로 전송한다. C&C 형 악성코드에 감염됐을 때 공격자는 관리를 위해 …
1. 개요
지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다.
실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은 Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다.
2. 분석 정보
2-1. 파일 정보
구분
내용
파일명
svchsot.exe
파일크기
106,496 byte
진단명
Backdoor/W32.Zegost.106496
악성동작
C&C, 백도어, 키로거
2-2. 유포 경로
2-3. 실행 과정
최초 실행 시 %WINDIR%\[임의6글자]\svchsot.exe 로 자신을 복제하고 작업 스케줄러를 통해 매시간 자동실행 되도록 설정한다. 이후 악성동작은 메모리상에만 존재하는 .dll 파일에서 이뤄진다. 이후 하기의 C&C서버에 접속하여 악성동작을 수행하나 현재 서버가 차단되어 실제 동작은 하지 않는다.
[그림] 메모리상에만 존재하는 .dll 파일
h****0.g***y.net:6000
com.g****2.com:6000
com1.g****2.com:6000
[표] C&C 서버 주소
[그림] 메모리상에만 존재하는 .dll 파일
|
|
h****0.g***y.net:6000
|
|
com.g****2.com:6000
|
|
com1.g****2.com:6000
[표] C&C 서버 주소
3. 악성 동작
3-1. PC정보 전송
감염 PC의 세부 정보를 악성 서버로 전송한다. C&C 형 악성코드에 감염됐을 때 공격자는 관리를 위해 …