19년 7월 30일 국내 정보보호 기업 M사의 유효한 코드서명 인증서를 포함한 악성코드가 발견되었습니다.

 

이번 악성코드 공격은 안다리엘이라는 북 해커조직이 주로 사용하는 특정 암호 알고리즘을 포함하고 있다고 합니다.

 

* 보안뉴스 기사

https://www.boannews.com/media/view.asp?idx=81889&utm_source=dable

 

[긴급] 北 추정 해킹그룹, 보안업체 코드서명 인증서 또 악용

국방 및 방위산업체와 ATM, 여행사 등을 공격한 것으로 잘 알려진 북한 추정 국가지원 해커조직의 새로운 공격이 30일 발견돼 관계기관이 비상에 걸렸다.

www.boannews.com

 

해당 악성코드에 대한 이스트시큐리티의 분석리포트를 보면, 악성코드에 감염이 되면 스케줄러에 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치한다고 합니다. 봇에 감염된 PC는 추가적인 악성행위를 수행할 수 있다고 합니다.

 

 

* 출처 : 이스트시큐리티 알약 블로그

https://blog.alyac.co.kr/2446?category=957259

 

국내 보안업체의 유효한 디지털서명을 탑재한 악성코드 주의!

안녕하세요. 이스트시큐리티 시큐리티 대응센터(ESRC)입니다. 2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다. 이..

blog.alyac.co.kr

 

이스트시큐리티 알약 블로그에 작성된 MD5 값을 참고하여 바이러스 토탈을 조회하면 다수의 안티바이러스 벤더에서 탐지된 것을 확인할 수 있습니다.

 

 

* 출처 : 바이러스토탈 (SHA256 : 315c06bd8c75f99722fd014b4fb4bd8934049cde09afead9b46bddf4cdd63171)

https://www.virustotal.com/gui/file/315c06bd8c75f99722fd014b4fb4bd8934049cde09afead9b46bddf4cdd63171/detection

 

VirusTotal

 

www.virustotal.com

* 출처 : any.run 악성코드 분석 결과

https://app.any.run/tasks/597afbf2-0a87-41c8-b96c-2a09b7eafc34/

 

javaupdatemain.exe (MD5: 9758EFCF96343D0EF83854860195C4B4) - Interactive analysis - ANY.RUN

Interactive malware hunting service. Any environments ready for live testing most type of threats. Without install. Without waiting.

app.any.run

 

정보보안 M사의 보안솔루션을 이용하는 분들께서 특별한 주의가 필요하며, 아래의 IP와 URL을 차단을 권고드립니다.

 

* 악성코드 요약정보

- 파일명 : javaupdatemain.tmp

- SHA256 : 315c06bd8c75f99722fd014b4fb4bd8934049cde09afead9b46bddf4cdd63171

- C2 서버 IP 정보 : 51[.]254[.]60[.]208 (FR / 프랑스)

- 악성URL : 51[.]254[.]60[.]208/common/javaupdatemain[.]tmp

 

악성코드 자동화 분석도구 중 하나인 Cuckoo Sandbox를 통한 악성코드 샘플 분석 결과이다.

(샘플분석은 "리버싱 이 정도는 알아야지" 서적을 참고하여 작성하였습니다.)

 

분석파일 : Challenge02.exexx 

분석 소요시간 : 3~4분

분석 report : html

 

 

Summary - 악성파일의 전체적인 행위를 요약.

 

* Summary : 파일사이즈, 타입, MD5, SHA1 및 샘플파일 Score 확인가능.

 

Challenge02.exexx 파일의 간단 요약

 

 

* Signatures : 악성코드를 실행한 PC정보, 악성 행위, 파일 속성 변경 등등 행위에 대한 간단 요약.

 

쿠쿠샌드박스 Signatures1
쿠쿠샌드박스 Signatures2
쿠쿠샌드박스 Signatures3

 

 

* Static Analysis : 악성파일의 정적분석 결과 확인.

 

쿠쿠샌드박스 - Static Analysis1
쿠쿠샌드박스 - Static Analysis2
쿠쿠샌드박스 - Static Analysis3

 

 

* Behavioral Analysis : 악성파일 동적분석 결과 확인.

 

쿠쿠샌드박스 - Behavioral Analysis

 

 

* Dropped Files : 악성파일이 만들거나 다운로드 받는 파일.

 

쿠쿠샌드박스 - Dropped Files

 

 

쿠쿠샌드박스는 pdf 및 html 파일로 분석보고서를 생성할 수 있다.

아래의 첨부파일은 html로 만든 분석보고서이다.

내용이 많이 부실하여 활용도는 많이 낮다.

 

report.html
0.41MB

 

 

 

출처 : https://xenostudy.tistory.com/361

 

win32API :: 예제소스 :: 간단소스 :: 레지스트리 값 읽기 / 쓰기 / 삭제

레지스트리 읽기 // 레지스트리 읽기 // LONG lResult; HKEY hKey; DWORD dwType; DWORD dwBytes=100; char buffer[100]; // open Regstry Key lResult = RegOpenKeyEx(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\..

xenostudy.tistory.com

아래의 코드는 위 블로그를 참고하여 작성하였습니다.

 

OS : Win 10 Home (64bit)

IDE : VS 2017

특이사항 :

 - 레지스트리 접근시 관리자 권한 설정 필요 (참고 : https://shaeod.tistory.com/533)

 - 64비트 환경시 특정 옵션 추가필요.

   (참고 : https://docs.microsoft.com/ko-kr/windows/desktop/WinProg64/accessing-an-alternate-registry-view)

 

레지스트리 수정을 통해서 인터넷 익스플로러 시작페이지 '다음'으로 설정

 

'Python&C' 카테고리의 다른 글

C++ 레지스트리 등록/수정/조회  (0) 2019.07.01
C++ SetFilePointer 예제  (0) 2019.06.30
C++ CreateFile 예제  (0) 2019.06.30
Python 메일 발송(첨부파일 포함)  (0) 2019.05.21
C++) namespace  (0) 2019.01.05
c언어 - stdout, stderr의 차이점  (0) 2016.10.11

+ Recent posts