lazarusholic

Everyday is lazarus.dayβ

3.3 DDoS Report

2011-03-05, Hauri
https://cppg.or.kr/issue/download.php?bo_table=qna&wr_id=2315&no=0&page=3
3.3_DDoS_Report.pdf, 2.4 MB
#3.4DDoS #DDoS #Finance #Government

Contents

3.3 DDoS Report - In South Korea –
March 5, 2011 Infra Team / HAURI Sang-Keun Jang (E-mail : [email protected])

1. Summary
2011.03.03 DDoS 사건은 한국 시간으로 2011년 3월 2일 국내 웹 하드 업체인 sharebox를 시 작으로 3일에는 bobofile, filecity, superdown 순으로 웹 하드업체를 해킹하여 해당 업체들의 웹 하드 모듈 업데이트을 이용하여 악성코드 배포가 빠르게 확산되기 시작되기 시작했다.
감염이 된 이후에는 악성코드들이 특정 서버들에 접속을 시도하고 지령을 받을 서버에 암호 화 통신으로 접속하여 지령을 받게 구성되어 있고, 각각의 악성코드 파일 마다 기능들이 분 담되어 있다. 그리고 전체적인 구성에서 본다면 스케쥴 되어진 기간 동안 특정 보안 업체 사 이트 접속 방해, 특정 사이트를 대상으로 한 DDoSAttack 과 감염 된 시스템의 데이터 파괴 등의 기능을 포함하고 있다.
Figure 1. TimeLine (PE)
Figure 2. C&C Server Map. (2011. 03. 04 16:30 GMT+9)

2. Attack Process
Sharebox 웹 하드 업데이트 프로그램(Shareboxc.exe) 을 통해 POST 방식으로 ShareboxC.dat 를 요청하여, ShareboxC.dat 파일 내부에 있는 업데이트 파일 SBUpdate.exe(악성코드)를 다운 로드 후 실행되어 또 다른 …

IoC

0A21B996E1F875D740034D250B878884
13BAFD5001AAE9B079480D2323403C36
173.18.37.158
200.132.59.120
207.191.121.170
209.107.241.247
212.200.11.82
65334333F65C5297B0E4F06A4B050804
74.39.222.97
78.39.222.97
82.154.248.137
98.21.253.110
A411B944AF23D28D636A0312B5B705DE
A63F4C213E2AE4D6CAA85382B65182C8
C963B7AD7C7AEFBE6D2AC14BED316CB8
DE905320DA5D260F7BB880D1F7AF8CEC
DF67F334DE8EFFCC64DB369D67C6CF6B
EDA2413435EEDD080988AD0BA63C7454
F1EC5B570351DB41F7DD4F925B8C2BA7
http://sub.sharebox.co.kr/SBUpdate.exe
http://sub.sharebox.co.kr/ShareBoxC.dat
http://webfile.bobofile.co.kr/app/bobofile/setup/setup_bobofile.exe