취약점 한글파일을 이용한 MBR 파괴기능의 악성코드 등장
Contents
최근 접수되는 취약점 한글 문서파일에서 기존에 존재했던 백도어 기능외에 주요 확장자 파일들에 대한 파괴 및 MBR 파괴기능을 갖는 파일이 접수되어 주의가 필요하다.
2014년 12월 9일 최초 접수된 취약점 한글 문서파일들은 모두 기 알려진 취약점을 이용하였으며, 최신 패치적용제품에서는 동작하지 않는다. 총 9개의 문서파일이 접수되었으며, 모두 동일한 악성파일을 내부에 포함하고 있다.
1. 생성하는 파일 및 서비스
%system% 폴더에 생성된 DLL을 서비스로 등록/구동 시, 사용하는 정보는 악성코드 내부에 목록으로 가지고 있으며, 아래의 항목 중 하나를 랜덤하게 선택한다.
[서비스 이름]
– BitLocker Drive Decryption Service
– Internet Connection Service
– Media Center Service
– Network Storage Service
– Peer Networking Address
– PNRP Machine Name
– Power Policy
– Program Compatibility Service
– Remote Registry Configuration
– Smart Card Management Service
– Tablet PC Management Service
– Task Schedule Manager
– Thread Ordering Service
– WebClient Manage Service
– Windows Color Adjustment
– Windows Modules Management
– Windows Time Synchronization
– Wired Config Service
– WLAN Config Service
– Workstation management
[생성 파일명]
– bddsvc.dll
– iconsvc.dll
– ehressvc.dll
– netstsvc.dll
– pnas.dll
– pnrpmchname.dll
– pwpsvc.dll
– pcssvc.dll
– rregconf.dll
– scardmngsvc.dll
– tcpmsvc.dll
– tschmng.dll
– mmthread.dll
– wcmngsvc.dll
– coladj.dll
– wndmodmng.dll
– …
2014년 12월 9일 최초 접수된 취약점 한글 문서파일들은 모두 기 알려진 취약점을 이용하였으며, 최신 패치적용제품에서는 동작하지 않는다. 총 9개의 문서파일이 접수되었으며, 모두 동일한 악성파일을 내부에 포함하고 있다.
1. 생성하는 파일 및 서비스
%system% 폴더에 생성된 DLL을 서비스로 등록/구동 시, 사용하는 정보는 악성코드 내부에 목록으로 가지고 있으며, 아래의 항목 중 하나를 랜덤하게 선택한다.
[서비스 이름]
– BitLocker Drive Decryption Service
– Internet Connection Service
– Media Center Service
– Network Storage Service
– Peer Networking Address
– PNRP Machine Name
– Power Policy
– Program Compatibility Service
– Remote Registry Configuration
– Smart Card Management Service
– Tablet PC Management Service
– Task Schedule Manager
– Thread Ordering Service
– WebClient Manage Service
– Windows Color Adjustment
– Windows Modules Management
– Windows Time Synchronization
– Wired Config Service
– WLAN Config Service
– Workstation management
[생성 파일명]
– bddsvc.dll
– iconsvc.dll
– ehressvc.dll
– netstsvc.dll
– pnas.dll
– pnrpmchname.dll
– pwpsvc.dll
– pcssvc.dll
– rregconf.dll
– scardmngsvc.dll
– tcpmsvc.dll
– tschmng.dll
– mmthread.dll
– wcmngsvc.dll
– coladj.dll
– wndmodmng.dll
– …
IoC
33874577bf54d3c209925c9def880eb9
3BA8A6815F828DFC518A0BDBD27BBA5B
3ec69ee7135272e5bed3ea5378ade6ee
54783422cfd7029a26a3f3f5e9087d8a
800866bbab514657969996210bcf727b
9daf088fe4c9a9580216e98dbb7d1fca
af792a34548a2038f034ea9a6ff0639a
b5b6e93ab27cec75f07af2a3a6a40926
ead682b889218979b1f2f1527227af9b
f09ea2a841114121f32211faac553e1b
3BA8A6815F828DFC518A0BDBD27BBA5B
3ec69ee7135272e5bed3ea5378ade6ee
54783422cfd7029a26a3f3f5e9087d8a
800866bbab514657969996210bcf727b
9daf088fe4c9a9580216e98dbb7d1fca
af792a34548a2038f034ea9a6ff0639a
b5b6e93ab27cec75f07af2a3a6a40926
ead682b889218979b1f2f1527227af9b
f09ea2a841114121f32211faac553e1b