I사 해킹사고 관련 악성코드 분석보고서
Contents
I사 해킹사고 관련 악성코드 분석보고서
유명 인터넷 쇼핑몰 업체인 I사의 직원 PC가 해킹당해 데이터베이스에서 천만건이 넘는 회원의 정보가 유출되었다.
이 사고는 직원의 지인을 사칭해 보낸 메일에 첨부된 악성코드로 인해 발생하였다.
첨부 된 악성코드는 악성 기능 이외에도 정상 파일을 실행시켜 사용자로 하여금 악성코드에 감염되었음을 알아채지 못하도록 눈속임 하는 기능도 포함되어있다.
[악성코드 분석 내용]
1. malware
(1) 실행 될 경우 암호화 된 문자열을 복호화 한다.
- 복호화 루틴
- (위) 복호화 전 / (아래) 복호화 후
(2) 복호화 한 문자열의 파일이 존재하는지 확인한다.
- 확인 대상 파일 : C_20284?NLS
(3) 특정 경로에 폴더를 생성한다.
- 생성 대상 경로 : %appdata%MicrosoftOffice\15.0
(4) 생성한 폴더에 자기 자신 내부의 특정 영역을 기록하고 인자를 주어 다시 실행시킨다.
- 생성 대상 경로 : %appdata%\Microsoft\Office\15.0\msoia.exe
- 실행 시 주어지는 인자 : /update
(5) 자기 자신 내부의 리소스 영역의 특정 파일을 꺼내 생성한다.
- 추출 대상 리소스 : FILE
- 생성 대상 경로 : %temp%\(자신과 같은 이름 파일)
(6) 생성한 파일을 실행시킨다. 생성된 파일은 Screensaver Factory로 제작된 정상 화면보호기 파일이다.
- 출력되는 화면보호기
2. msoia.exe
(1) 실행 인자의 갯수가 경로를 포함해 …
유명 인터넷 쇼핑몰 업체인 I사의 직원 PC가 해킹당해 데이터베이스에서 천만건이 넘는 회원의 정보가 유출되었다.
이 사고는 직원의 지인을 사칭해 보낸 메일에 첨부된 악성코드로 인해 발생하였다.
첨부 된 악성코드는 악성 기능 이외에도 정상 파일을 실행시켜 사용자로 하여금 악성코드에 감염되었음을 알아채지 못하도록 눈속임 하는 기능도 포함되어있다.
[악성코드 분석 내용]
1. malware
(1) 실행 될 경우 암호화 된 문자열을 복호화 한다.
- 복호화 루틴
- (위) 복호화 전 / (아래) 복호화 후
(2) 복호화 한 문자열의 파일이 존재하는지 확인한다.
- 확인 대상 파일 : C_20284?NLS
(3) 특정 경로에 폴더를 생성한다.
- 생성 대상 경로 : %appdata%MicrosoftOffice\15.0
(4) 생성한 폴더에 자기 자신 내부의 특정 영역을 기록하고 인자를 주어 다시 실행시킨다.
- 생성 대상 경로 : %appdata%\Microsoft\Office\15.0\msoia.exe
- 실행 시 주어지는 인자 : /update
(5) 자기 자신 내부의 리소스 영역의 특정 파일을 꺼내 생성한다.
- 추출 대상 리소스 : FILE
- 생성 대상 경로 : %temp%\(자신과 같은 이름 파일)
(6) 생성한 파일을 실행시킨다. 생성된 파일은 Screensaver Factory로 제작된 정상 화면보호기 파일이다.
- 출력되는 화면보호기
2. msoia.exe
(1) 실행 인자의 갯수가 경로를 포함해 …
IoC
190.185.124.125
202.137.244.198
220.132.191.110
202.137.244.198
220.132.191.110