HIDDEN COBRA 악성코드 분석 보고서
Contents
보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
HIDDEN COBRA 악성코드 분석 보고서
2018.08.03
8,333
1. 개요
▶ Joanap으로 알려진 RAT(Remote Access Tool)를 이용한 백도어
▶ Brambul로 알려진 SMB(Server Message Block) 프로토콜 기반의 웜
1) 요약
ㆍ HIDDEN COBRA 악성코드는 최초 하나의 Dropper파일이 시스템에서 실행되어 해당 시스템이 감염된다.
감염 직후, Dropper는 scardprv.dll, Wmmvsvc.dll, 그리고 mssscardprv.ax파일을 생성한다.
ㆍ mssscardprv.ax파일은 IP 주소와 PORT 번호가 나열되어 있으며, scardprv.dll은 백도어를 수행하고,
Wmmvsvc.dll은 mssscardprv.ax 파일에서 수집된 정보를 바탕으로 SMB 웜 공격을 수행한다.
2) 영향
ㆍ 본 보고서에서 점검한 HIDDEN COBRA 악성코드가 시스템에 미치는 영향은 아래 [표 1]과 같다.
|
|
구 분
|
|
내 용
|
|
scardprv.dll
|
|
디렉터리 삭제 및 백도어 수행
|
|
Wmmvsvc.dll
|
|
SMB 프로토콜을 이용한 악성코드 전파 및 실행
[표 1] HIDDEN COBRA 악성코드의 시스템 영향
3) 대응방안
① 임의로 열려진 HTTPS(TCP/443) 포트의 차단
② 방화벽을 이용한 SMB(TCP/445) 포트의 차단
2. 분석 대상 정보
1) Dropper 정보
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885
|
|
파일 크기
|
|
204kB (208,896-bytes)
|
|
파일 형식
|
|
Win32 EXE
[표 2] Dropper 정보
2) scardprv.dll 정보
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
|
|
파일 크기
|
|
76kB (77,824-bytes)
|
|
파일 형식
|
|
Win32 DLL
[표 3] scardprv.dll 정보
3) Wmmvsvc.dll 정보
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781
|
|
파일 크기
|
|
89.5kB (91,664-bytes)
|
|
파일 형식
|
|
Win32 DLL
[표 4] Wmmvsvc.dll 정보
3. …
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
HIDDEN COBRA 악성코드 분석 보고서
2018.08.03
8,333
1. 개요
▶ Joanap으로 알려진 RAT(Remote Access Tool)를 이용한 백도어
▶ Brambul로 알려진 SMB(Server Message Block) 프로토콜 기반의 웜
1) 요약
ㆍ HIDDEN COBRA 악성코드는 최초 하나의 Dropper파일이 시스템에서 실행되어 해당 시스템이 감염된다.
감염 직후, Dropper는 scardprv.dll, Wmmvsvc.dll, 그리고 mssscardprv.ax파일을 생성한다.
ㆍ mssscardprv.ax파일은 IP 주소와 PORT 번호가 나열되어 있으며, scardprv.dll은 백도어를 수행하고,
Wmmvsvc.dll은 mssscardprv.ax 파일에서 수집된 정보를 바탕으로 SMB 웜 공격을 수행한다.
2) 영향
ㆍ 본 보고서에서 점검한 HIDDEN COBRA 악성코드가 시스템에 미치는 영향은 아래 [표 1]과 같다.
|
|
구 분
|
|
내 용
|
|
scardprv.dll
|
|
디렉터리 삭제 및 백도어 수행
|
|
Wmmvsvc.dll
|
|
SMB 프로토콜을 이용한 악성코드 전파 및 실행
[표 1] HIDDEN COBRA 악성코드의 시스템 영향
3) 대응방안
① 임의로 열려진 HTTPS(TCP/443) 포트의 차단
② 방화벽을 이용한 SMB(TCP/445) 포트의 차단
2. 분석 대상 정보
1) Dropper 정보
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885
|
|
파일 크기
|
|
204kB (208,896-bytes)
|
|
파일 형식
|
|
Win32 EXE
[표 2] Dropper 정보
2) scardprv.dll 정보
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
|
|
파일 크기
|
|
76kB (77,824-bytes)
|
|
파일 형식
|
|
Win32 DLL
[표 3] scardprv.dll 정보
3) Wmmvsvc.dll 정보
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781
|
|
파일 크기
|
|
89.5kB (91,664-bytes)
|
|
파일 형식
|
|
Win32 DLL
[표 4] Wmmvsvc.dll 정보
3. …
IoC
077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885
a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781
a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781