HIDDEN COBRA 악성코드(java.exe) 분석 보고서
Contents
보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
HIDDEN COBRA 악성코드(java.exe) 분석 보고서
2018.10.02
6,423
1. 개요
2009년부터 활동한 것으로 추정되는 해킹 그룹 HIDDEN COBRA에서 사용하는 악성코드(11종) 중 수집 가능한 악성코드(java.exe)에 대한 분석을 진행하였다. 해당 악성코드는 C&C 서버에 접속 후 공격 명령을 수신 및 실행하는 것으로 확인되었다.
1) 요약
악성코드(java.exe)는 64bit 악성 DLL파일(6AB301FC3296E1CEB140BF5D294894C5)에 의해 생성되는 것으로
알려져 있으며, 악성코드가 실행되면 고정된 4개의 C&C 서버에 대해 접속을 시도한다. C&C 서버 접속에 성공할 경우, 공격자로부터 명령을 수신하여 각 명령에 따른 여러 가지 악성행위들을 수행한다.
2) IoC 정보
IoC 정보와 확인된 악성행위는 아래 [표 1]과 같다.
|
|
C&C 서버
|
|
악성 행위 목록
|
|
80.91.118.45:443(https)
|
|
ㆍ파일 검색/읽기/쓰기/삭제
ㆍ프로세스 실행/종료
ㆍ쉘을 이용한 명령 실행
ㆍ레지스트리 조작
|
|
181.119.19.56:443(https)
|
|
111.207.78.204:443(https)
|
|
184.107.209.2:443(https)
[표 1] HIDDEN COBRA 악성코드에 의한 시스템 영향
2. 악성코드 정보
분석에 사용된 악성코드(java.exe)에 대한 정보는 다음과 같다.
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
3c809a10106990ba93ec0ed3b63ec8558414c6680f6187066b1aacd4d8c58210
|
|
파일 크기
|
|
116kB (118,784-bytes)
|
|
파일 형식
|
|
Win32 EXE
[표 2] 악성코드(java.exe) 정보
3. 상세 분석
악성코드(java.exe)는 정보은닉을 위해 악성 행위에 필요한 함수들을 암호화 한 문자열 형태로 저장하고 있다.
[그림 1] 암호화 된 함수 이름
이 암호화된 문자열은 악성코드 내에는 이를 복호화하기 위한 루틴에 의해 평문 …
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
HIDDEN COBRA 악성코드(java.exe) 분석 보고서
2018.10.02
6,423
1. 개요
2009년부터 활동한 것으로 추정되는 해킹 그룹 HIDDEN COBRA에서 사용하는 악성코드(11종) 중 수집 가능한 악성코드(java.exe)에 대한 분석을 진행하였다. 해당 악성코드는 C&C 서버에 접속 후 공격 명령을 수신 및 실행하는 것으로 확인되었다.
1) 요약
악성코드(java.exe)는 64bit 악성 DLL파일(6AB301FC3296E1CEB140BF5D294894C5)에 의해 생성되는 것으로
알려져 있으며, 악성코드가 실행되면 고정된 4개의 C&C 서버에 대해 접속을 시도한다. C&C 서버 접속에 성공할 경우, 공격자로부터 명령을 수신하여 각 명령에 따른 여러 가지 악성행위들을 수행한다.
2) IoC 정보
IoC 정보와 확인된 악성행위는 아래 [표 1]과 같다.
|
|
C&C 서버
|
|
악성 행위 목록
|
|
80.91.118.45:443(https)
|
|
ㆍ파일 검색/읽기/쓰기/삭제
ㆍ프로세스 실행/종료
ㆍ쉘을 이용한 명령 실행
ㆍ레지스트리 조작
|
|
181.119.19.56:443(https)
|
|
111.207.78.204:443(https)
|
|
184.107.209.2:443(https)
[표 1] HIDDEN COBRA 악성코드에 의한 시스템 영향
2. 악성코드 정보
분석에 사용된 악성코드(java.exe)에 대한 정보는 다음과 같다.
|
|
구 분
|
|
내 용
|
|
SHA256
|
|
3c809a10106990ba93ec0ed3b63ec8558414c6680f6187066b1aacd4d8c58210
|
|
파일 크기
|
|
116kB (118,784-bytes)
|
|
파일 형식
|
|
Win32 EXE
[표 2] 악성코드(java.exe) 정보
3. 상세 분석
악성코드(java.exe)는 정보은닉을 위해 악성 행위에 필요한 함수들을 암호화 한 문자열 형태로 저장하고 있다.
[그림 1] 암호화 된 함수 이름
이 암호화된 문자열은 악성코드 내에는 이를 복호화하기 위한 루틴에 의해 평문 …
IoC
111.207.78.204
181.119.19.56
184.107.209.2
3c809a10106990ba93ec0ed3b63ec8558414c6680f6187066b1aacd4d8c58210
6AB301FC3296E1CEB140BF5D294894C5
80.91.118.45
181.119.19.56
184.107.209.2
3c809a10106990ba93ec0ed3b63ec8558414c6680f6187066b1aacd4d8c58210
6AB301FC3296E1CEB140BF5D294894C5
80.91.118.45