뉴크스페드(NukeSped)
- 원격 접근 트로이목마(RAT)
- 피해자 시스템에 대한 원격 관리 가능
- 샘플 대부분(70%)이 한국어로 구성
- 북한 해커들이 사용해온 폴칠(멀웨어 행위)이나 홉라이트(암호화 기술)와 비슷
- 북한 해킹 그룹 라자루스와 관련 있는 것으로 추정.
뉴크스페드 특징
- 동적으로 기능들을 발휘
- API 이름들도 암호화. 정적 분석을 회피하기 위한 수단
- 공격 지속성을 확보하기 위해 Run 레지스트리 키에 자신을 삽입
뉴크스페드 기능
- 감염된 호스트에 대한 관리 및 접근 권한을 원격에 있는 공격자에게 부여
- 추가 페이로드를 확보해 실행 시키고, 자기 자신을 포함한 여러가지 흔적들을 삭제
뉴크스페드 행위
1) 다른 사용자의 프로세스를 생성
2) 폴더 내 파일들을 반복적으로 처리
3) 프로세스와 모듈들을 반복적으로 처리
4) 프로세스를 생성하거나 종료
5) 파일을 읽거나 쓴다
6) 설치된 디스크에 대한 정보를 수집
7) 현대의 디렉토리에 접근해 다른 디렉터리 변경
북한 멀웨어의 특징
- 32비트 시스템용으로 컴파일링
- 분석을 방해하기 위해 암호화 된 문자열을 포함
- 2017년 5월 4일 ~ 2018년 2월 13일 사이에 찍힌 타임스탬프가 존재
- 언어 ID가 한국어로 설정
출처 : https://www.boannews.com/media/view.asp?idx=84042
북한의 해커들이 새롭게 만든 정찰용 멀웨어, 뉴크스페드
보안 업체 포티넷(Fortinet)의 전문가들이 뉴크스페드(NukeSped)라는 멀웨어 샘플을 확보해 정밀히 분석했다. 그 결과 북한의 정부 지원을 받는 해커들이 과거에 사용해온 멀웨어들과 상당 부분 닮아있다는 것을 발견할 수 있었다고 한다.
www.boannews.com
'IT Security' 카테고리의 다른 글
| Lord of Sqlinjection - 1번 GREMLIN (0) | 2019.11.18 |
|---|---|
| 정보보안 ) EDR 솔루션 (0) | 2019.10.30 |
| 정보보안 ) 파워쉘(PowerShell) (0) | 2019.10.28 |
| ISEC 2019 - 제 13회 국제 시큐리티 컨퍼런스 (0) | 2019.10.10 |
| 악성코드) 보안업체 코드서명 인증서를 포함한 악성코드 발견 (0) | 2019.07.31 |