SK 커뮤니케이션즈 해킹 관련 상세 분석 보고서
Contents
[악성코드 상세 분석 보고서]
SK 커뮤니케이션즈 해킹 관련 상세 분석 보고서
“nateon.exe”
대응 2 팀
2011-08-04
▣ SK 커뮤니케이션즈 해킹 주요 내용
: 지난 7 월 26 일(화) SK 커뮤니케이션즈가 해킹으로 인해 일부 고객의 정보가 유출된 사실이
확인되었고, 28 일(목) 홈페이지 팝업 공지문(개인정보 유출)과 함께 관련된 언론 보도자료가 배포
되었다.
이는 3500 만명의 네이트 회원의 개인정보가 모두 유출되는 사상 초유의 피해가 발생했다.
▣ 해킹 관련 악성코드 감염시 DB 정보 절취 흐름
1. nateon.exe (MD5 : 461884F1D41E9E0709B40AB2CE5AFCA7, SIZE : 166,912)
개요 : 해당 파일은 네이트온 메신저의 실행 파일로 위장하고 있다. 실행시 특정 서버에 접속하여,
공격자의 명령에 따라 악의적인 행위를 수행하는 RAT(Remote Administration Tool) 을 가진 dll파
일을 서비스로 등록하여 실행시킨다.
상세분석 :
(1) 해당 파일은 EXE 파일이지만 다음과 같이 EAT를 가지고 있다. 일반적이지는 않으나 EXE로의
기능 수행에는 문제가 없다. EAT가 졲재하는 이유는 하나의 파일로 DLL의 기능까지 수행하기 위
함이다. EAT에는 0x5F개의 함수가 제공된다. (0x5F개중 실제 동작하는 것은 RqSkce 하나)
(2) 악성코드는 실행된 자신의 파일을 사이즈만큼 읽어 버퍼에 저장한다.
(3) 버퍼에 저장한 PE 포맷의 바이너리는 헤더부분을 수정하여 DLL 속성을 …
SK 커뮤니케이션즈 해킹 관련 상세 분석 보고서
“nateon.exe”
대응 2 팀
2011-08-04
▣ SK 커뮤니케이션즈 해킹 주요 내용
: 지난 7 월 26 일(화) SK 커뮤니케이션즈가 해킹으로 인해 일부 고객의 정보가 유출된 사실이
확인되었고, 28 일(목) 홈페이지 팝업 공지문(개인정보 유출)과 함께 관련된 언론 보도자료가 배포
되었다.
이는 3500 만명의 네이트 회원의 개인정보가 모두 유출되는 사상 초유의 피해가 발생했다.
▣ 해킹 관련 악성코드 감염시 DB 정보 절취 흐름
1. nateon.exe (MD5 : 461884F1D41E9E0709B40AB2CE5AFCA7, SIZE : 166,912)
개요 : 해당 파일은 네이트온 메신저의 실행 파일로 위장하고 있다. 실행시 특정 서버에 접속하여,
공격자의 명령에 따라 악의적인 행위를 수행하는 RAT(Remote Administration Tool) 을 가진 dll파
일을 서비스로 등록하여 실행시킨다.
상세분석 :
(1) 해당 파일은 EXE 파일이지만 다음과 같이 EAT를 가지고 있다. 일반적이지는 않으나 EXE로의
기능 수행에는 문제가 없다. EAT가 졲재하는 이유는 하나의 파일로 DLL의 기능까지 수행하기 위
함이다. EAT에는 0x5F개의 함수가 제공된다. (0x5F개중 실제 동작하는 것은 RqSkce 하나)
(2) 악성코드는 실행된 자신의 파일을 사이즈만큼 읽어 버퍼에 저장한다.
(3) 버퍼에 저장한 PE 포맷의 바이너리는 헤더부분을 수정하여 DLL 속성을 …