lazarusholic

2023-03-24, Ahnlab
https://asec.ahnlab.com/ko/50394/
#Kimsuky #ADS

AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다.
해당 악성코드는 HTML 파일 내부에 포함된 VBScirpt를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다.
터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다.
- hostname
- systeminfo
- net user
- query user
- route print
- ipconfig /all
- arp -a
- netstat -ano
- tasklist
- tasklist /svc
- cmd.exe” /c dir “C:\Program Files“
- cmd.exe” /c dir “C:\Program Files (x86)”
- cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs”
- cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”
또한, HEX 인코딩된 데이터를 디코딩 하여 “C:\ProgramData\Uso2” 경로에 “.Uso2Config.conf” 이름으로 저장하고 1분마다 무한 반복하는 스케줄러를 등록한다.
디코딩 된 파일은 지속성 유지를 위한 스크립트로서 C2에 접속하여 추가 스크립트를 실행한다. 하지만, “.Uso2Config.conf” 파일을 저장할 때 “:honeyT”를 이어 붙여 저장하는데 이는 ADS를 생성한다는 의미이다.
해당 기법을 통해 저장된 파일은 디렉터리에서 확인하면 파일의 크기가 0 byte로 표기된다.
하지만 터미널에서 “dir /r” 명령어를 통해 크기와 정확한 파일 이름을 알 수 있으며 “more” 명령어를 통해 파일 내용 을 확인 할 수 …

ACA61A168D95C5F72B8E02650F727000
EC3C0D9CBF4E27E0240C5B5D888687EC
http://zetaros.000webhostapp.com

Kimsuky Group Uses ADS to Conceal Malware

https://asec.ahnlab.com/en/50625/