삼성 메신저 사칭 악성코드
Contents
삼성 메신저 사칭 악성코드
- 보안 정보/악성코드 관련 정보
- 2016. 1. 26. 20:41
1. 개요
삼성 내부의 메신저를 사칭한 악성코드가 이슈가 되어 분석을 진행했다. 전형적인 서버의 명령을 수행하는 백도어로 많은 기능이 포함되었다.
※ 백도어 : 원래는 다른 PC에 접근하기 위해 편의로 만들어 놓았으나, 최근에는 해커가 해킹에 성공한 PC를 간편하게 제어하기 위해 이용한다.
2. 전체 동작
< Figure 1. 전체 동작 >
해당 악성코드는 실행을 하게 되면, 원격에서 연결 할 수 있는 "데스크톱 연결"은 위장용으로 실행하고 다른 악성 행위를 하지않는다. 그 후, 서버에서 동작을 받아 명령을 처리하게 되는데 특정 서버로 연결을 시도하고 연결된 서버로부터 지속적인 통신을 통해 28개의 커맨드를 받을 수 있게 설계되어 있다.
3. 샘플 정보
파일명 : mySingleMessenger.exe
파일크기 : 208,896 Bytes
SHA-256 : 44884565800EEBF41185861133710B4A42A99D80B6A74436BF788C0E210B9F50
malwares.com 분석 정보 : [Link]
4. 분석 과정
< Figure 2. 삼성 메신저 설치파일과 설치파일을 가장한 악성코드 >
실제 삼성 메신저 설치 프로그램은 정상적으로 인스톨이 되는 반면에 악성 파일은 "데스크톱 연결"프로그램을 실행한다. 프로그램을 종료하게 되면 화면에는 아무런 변화가 없지만 내부적으로 프로그램이 동작하게 된다. 동작하는 프로그램은 서버와 연결을 시도한다.
< Figure …
- 보안 정보/악성코드 관련 정보
- 2016. 1. 26. 20:41
1. 개요
삼성 내부의 메신저를 사칭한 악성코드가 이슈가 되어 분석을 진행했다. 전형적인 서버의 명령을 수행하는 백도어로 많은 기능이 포함되었다.
※ 백도어 : 원래는 다른 PC에 접근하기 위해 편의로 만들어 놓았으나, 최근에는 해커가 해킹에 성공한 PC를 간편하게 제어하기 위해 이용한다.
2. 전체 동작
< Figure 1. 전체 동작 >
해당 악성코드는 실행을 하게 되면, 원격에서 연결 할 수 있는 "데스크톱 연결"은 위장용으로 실행하고 다른 악성 행위를 하지않는다. 그 후, 서버에서 동작을 받아 명령을 처리하게 되는데 특정 서버로 연결을 시도하고 연결된 서버로부터 지속적인 통신을 통해 28개의 커맨드를 받을 수 있게 설계되어 있다.
3. 샘플 정보
파일명 : mySingleMessenger.exe
파일크기 : 208,896 Bytes
SHA-256 : 44884565800EEBF41185861133710B4A42A99D80B6A74436BF788C0E210B9F50
malwares.com 분석 정보 : [Link]
4. 분석 과정
< Figure 2. 삼성 메신저 설치파일과 설치파일을 가장한 악성코드 >
실제 삼성 메신저 설치 프로그램은 정상적으로 인스톨이 되는 반면에 악성 파일은 "데스크톱 연결"프로그램을 실행한다. 프로그램을 종료하게 되면 화면에는 아무런 변화가 없지만 내부적으로 프로그램이 동작하게 된다. 동작하는 프로그램은 서버와 연결을 시도한다.
< Figure …
IoC
206.248.59.124
44884565800EEBF41185861133710B4A42A99D80B6A74436BF788C0E210B9F50
94.199.145.55
44884565800EEBF41185861133710B4A42A99D80B6A74436BF788C0E210B9F50
94.199.145.55