6.25 DDoS 공격의 하드디스크 파괴 악성코드 상세 분석
Contents
6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다.
ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 하는 과정에서 하드디스크 파괴를 목적으로 가진 악성코드를 추가 발견하였다.
현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다.
1. 하드디스크 파괴 악성코드 분석
1) RDPSHELLEX.EXE (245,760 바이트)
* 실행 조건 체크
하드디스크 파괴 기능을 수행하는 RDPSHELLEX.EXE (245,760 바이트)는 최초 감염된 시스템에서 실행이 되면, 다음 경로에 존재하는 lsass.exe 파일이 존재하는지 확인하게 된다.
윈도우 시스템 폴더(System32)icfglsass.exe
만약 해당 lsass.exe 파일이 감염된 시스템에 존재 하는 경우에는 바로 종료하고, 추가적인 악의적인 기능들을 수행하지 않게 된다.
RDPSHELLEX.EXE (245,760 바이트)는 감염된 시스템에서 중복 실행을 방지하기 위하여 다음의 뮤텍스(Mutex)를 확인하게 된다.
Mutex = Microsoft-Windows-LDAP32-Client
r, i, p, m, b, z, d, f, n, w, s, t, a
아래 이미지는 분석된 내용 중 인자 값이 -r 과 -I 가 있는 경우를 설명하는 것이다.
* 감염 시스템 정보 전송
감염이 성공적으로 이루어지게 될 경우에는 다음 IP의 …
ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 하는 과정에서 하드디스크 파괴를 목적으로 가진 악성코드를 추가 발견하였다.
현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다.
1. 하드디스크 파괴 악성코드 분석
1) RDPSHELLEX.EXE (245,760 바이트)
* 실행 조건 체크
하드디스크 파괴 기능을 수행하는 RDPSHELLEX.EXE (245,760 바이트)는 최초 감염된 시스템에서 실행이 되면, 다음 경로에 존재하는 lsass.exe 파일이 존재하는지 확인하게 된다.
윈도우 시스템 폴더(System32)icfglsass.exe
만약 해당 lsass.exe 파일이 감염된 시스템에 존재 하는 경우에는 바로 종료하고, 추가적인 악의적인 기능들을 수행하지 않게 된다.
RDPSHELLEX.EXE (245,760 바이트)는 감염된 시스템에서 중복 실행을 방지하기 위하여 다음의 뮤텍스(Mutex)를 확인하게 된다.
Mutex = Microsoft-Windows-LDAP32-Client
r, i, p, m, b, z, d, f, n, w, s, t, a
아래 이미지는 분석된 내용 중 인자 값이 -r 과 -I 가 있는 경우를 설명하는 것이다.
* 감염 시스템 정보 전송
감염이 성공적으로 이루어지게 될 경우에는 다음 IP의 …