포털 사이트의 보안 프로그램으로 위장한 악성코드 주의
Contents
포털 사이트의 보안 프로그램으로 위장한 악성코드 주의
안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다.
| [지능형 지속 공격(Advanced Persistent Threat, APT)] |
| 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 |
발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다.
피싱 페이지는 접속한 웹 브라우저의 사용자 에이전트(User-Agent)에 따라 PC 버전과 모바일 버전으로 출력되며 공격 대상에게 보안 프로그램 또는 앱으로 위장한 악성코드의 다운로드를 유도한다.
| [피싱(Phishing)] |
| 교묘하게 만들어낸 가짜정보를 미끼로 피해자의 정보를 탈취하는 공격 |
| [User-Agent] | [다운로드 파일] |
| Windows | [포털 사이트명]Protect.zip |
| Android | [포털 사이트명]Protect.apk |
1. Windows
PC환경에서 피싱 페이지에 연결하였다면 ‘보안 프로그램 다운로드’ 버튼이 출력되며 버튼을 클릭하면 압축파일 ‘D***Protect.zip’이 다운로드된다. 다운로드된 압축파일은 내부에는 실행파일 ‘D***Protect.exe’이 있다.
실행파일 ‘D***Protect.exe’은 드로퍼(Dropper)이며, 파일을 실행하면 보안 프로그램이 설치로 위장한 대화 상자(Dialog)를 출력하여 사용자의 의심을 피하고자 한다.
| [드로퍼(Dropper)] |
| 시스템에 악성코드를 설치하기 위해 제작된 프로그램 |
대화 상자가 출력되는 동안 ‘D***Protect.exe’ …
안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다.
| [지능형 지속 공격(Advanced Persistent Threat, APT)] |
| 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 |
발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다.
피싱 페이지는 접속한 웹 브라우저의 사용자 에이전트(User-Agent)에 따라 PC 버전과 모바일 버전으로 출력되며 공격 대상에게 보안 프로그램 또는 앱으로 위장한 악성코드의 다운로드를 유도한다.
| [피싱(Phishing)] |
| 교묘하게 만들어낸 가짜정보를 미끼로 피해자의 정보를 탈취하는 공격 |
| [User-Agent] | [다운로드 파일] |
| Windows | [포털 사이트명]Protect.zip |
| Android | [포털 사이트명]Protect.apk |
1. Windows
PC환경에서 피싱 페이지에 연결하였다면 ‘보안 프로그램 다운로드’ 버튼이 출력되며 버튼을 클릭하면 압축파일 ‘D***Protect.zip’이 다운로드된다. 다운로드된 압축파일은 내부에는 실행파일 ‘D***Protect.exe’이 있다.
실행파일 ‘D***Protect.exe’은 드로퍼(Dropper)이며, 파일을 실행하면 보안 프로그램이 설치로 위장한 대화 상자(Dialog)를 출력하여 사용자의 의심을 피하고자 한다.
| [드로퍼(Dropper)] |
| 시스템에 악성코드를 설치하기 위해 제작된 프로그램 |
대화 상자가 출력되는 동안 ‘D***Protect.exe’ …
IoC
http://naver-clinic.drlve.in
http://engine-center.pe.hu
http://naver-clinic.drlve.in/protect_base/index.php
http://engine-center.pe.he/download//SCSIUpdate_%5BGetAdaptersInfo
http://engine-center.pe.hu/Ping.php?WORD=com_%5BGetAdaptersInfo]&NOTE=[(BASE64
eb7db6d73af64d8f08a58f7b920a39dd0e74f39a9f6fd35e5ca650a187304a7f
04f93f726b70613654bc821ace90444d7a97869f578c8b81b08dda28ac815ef5
316b5ea01db4171537a89ed97a037ccf471efdb6947d323da5c3569a4b402e96
e1338cc07877d4fa9269c2758e63779e194d789d6fb80dd7198aa6ac6d622c81
http://engine-center.pe.hu
http://naver-clinic.drlve.in/protect_base/index.php
http://engine-center.pe.he/download//SCSIUpdate_%5BGetAdaptersInfo
http://engine-center.pe.hu/Ping.php?WORD=com_%5BGetAdaptersInfo]&NOTE=[(BASE64
eb7db6d73af64d8f08a58f7b920a39dd0e74f39a9f6fd35e5ca650a187304a7f
04f93f726b70613654bc821ace90444d7a97869f578c8b81b08dda28ac815ef5
316b5ea01db4171537a89ed97a037ccf471efdb6947d323da5c3569a4b402e96
e1338cc07877d4fa9269c2758e63779e194d789d6fb80dd7198aa6ac6d622c81