정상 인증서를 악용하여 유포 중인 백도어 악성코드 주의!
Contents
유효한 정상 인증서가 포함된 악성코드가 발견되어 사용자분들의 각별한 주의가 필요합니다.
해당 악성 파일은 국내 유명 기업의 정상 인증서로 서명되어 있어 탐지 회피를 노렸으며, SCR 포맷의 실행 파일이지만 PDF 파일처럼 보이도록 아이콘이 조작되어 있습니다.
악성파일이 실행되면 파일 내부에서 PDF 파일을 추출하여 %TEMP% 폴더에 생성한 뒤 CMD 명령어를 이용해 실행합니다.
생성된 PDF 파일은 사용자의 주의를 끌기 위한 미끼 파일이며, 이로 인해 사용자는 감염 사실을 인지하기 어렵습니다.
이후 다시 config.dat 파일을 추출하여 %Public% 폴더에 생성하고 파일 생성이 완료되면 자가 삭제됩니다. 생성된 config.dat 파일은 악성 DLL 파일로 rundll32.exe 파일을 통해 로드되어 CMD 명령어를 이용해 실행됩니다.
실행하는 CMD 명령어는 다음과 같습니다.
실행된 후에는 지속성 유지를 위해 사용자 권한을 확인한 뒤 관리자 권한일 경우 서비스를 생성하고, 관리자 권한이 아닐 경우 레지스트리 키를 생성합니다.
지속성 유지를 위한 절차가 끝나면 공격자 서버(C2)와 통신을 하기위한 설정 파일인 DATA_CONF 파일의 존재 여부를 체크한 뒤 파일이 있는 경우 해당 파일을 사용하여 통신을 시작하고 없을 경우 내부 데이터를 RC4 알고리즘으로 복호화 한 후 사용합니다.
이때 사용하는 키 값은 다음과 같습니다.
이후 …
해당 악성 파일은 국내 유명 기업의 정상 인증서로 서명되어 있어 탐지 회피를 노렸으며, SCR 포맷의 실행 파일이지만 PDF 파일처럼 보이도록 아이콘이 조작되어 있습니다.
악성파일이 실행되면 파일 내부에서 PDF 파일을 추출하여 %TEMP% 폴더에 생성한 뒤 CMD 명령어를 이용해 실행합니다.
생성된 PDF 파일은 사용자의 주의를 끌기 위한 미끼 파일이며, 이로 인해 사용자는 감염 사실을 인지하기 어렵습니다.
이후 다시 config.dat 파일을 추출하여 %Public% 폴더에 생성하고 파일 생성이 완료되면 자가 삭제됩니다. 생성된 config.dat 파일은 악성 DLL 파일로 rundll32.exe 파일을 통해 로드되어 CMD 명령어를 이용해 실행됩니다.
실행하는 CMD 명령어는 다음과 같습니다.
실행된 후에는 지속성 유지를 위해 사용자 권한을 확인한 뒤 관리자 권한일 경우 서비스를 생성하고, 관리자 권한이 아닐 경우 레지스트리 키를 생성합니다.
지속성 유지를 위한 절차가 끝나면 공격자 서버(C2)와 통신을 하기위한 설정 파일인 DATA_CONF 파일의 존재 여부를 체크한 뒤 파일이 있는 경우 해당 파일을 사용하여 통신을 시작하고 없을 경우 내부 데이터를 RC4 알고리즘으로 복호화 한 후 사용합니다.
이때 사용하는 키 값은 다음과 같습니다.
이후 …
IoC
http://gsegse.dasfesfgsegsefsede.o-r.kr/login.php
7EC88818697623A0130B1DE42FA31335
580D7A5FDF78DD3E720B2CE772DC77E9
7EC88818697623A0130B1DE42FA31335
580D7A5FDF78DD3E720B2CE772DC77E9