Msiexec1.exe (Win-Trojan/Downloader.374651) 실행
: 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll)
및 악성코드 생성(wmcfg.exe 와 wmiconf.dll)
안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28838
WinPcap 파일은 패킷 캡쳐에 사용되는 파일이지만 패킷 생성에도 악용되는 파일로 정상 파일임
한가지 재미있는건(?) Mutex 이름이 '_MUTEX_AHN_V3PRO_' 이다.
요즘 안랩 제품을 사칭하는 악성코드가 많이 등장하고 있다. (대부분 중국산이다. 이런 나쁜...)
wmiconf.dll (Win-Trojan/Agent.67072.DL)
: uregvs.nls에서 공격 주소를 얻어와 공격 트래픽 발생
wmiconf.dll 이외에 perfvwr.dll 등의 이름으로도 존재한다.
즉, 다수 변형이 존재하는 것으로 추정된다.
안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28882
msiexec2.exe (Win-Trojan/Agent.33841)
: 공격 주소 리스트를 담고 있는 uregvs.nls 파일을 생성
다른 이름의 EXE 파일이 다수 존재하며 실행되는 변형에 따라 다른 공격 주소를 담은 uregvs.nls 파일이 생성될 수 있다.
실행되면 uregvs.nls 파일을 생성하고 vme.bat로 자신을 삭제한다.
악성코드 제작자는 공격 주소를 담고 있는 이들 EXE와 실제 공격하는 DLL 파일을 별도로 배포한게 아닐까하는 추정을 해본다.
uregvs.nls (BinImage/Host)
: 공격 주소 리스트를 담고 있는 파일
msiexec2.exe, msiexec3.exe 등에 의해 생성되며 변형에 따라 조금씩 다른 주소를 담고 있을 수 있다.
만약 이 주소를 다른 웹사이트로 바꾸면 해당 웹사이트가 공격 당한다.
* 국내에는 왜 7월 7일 보고되었는가 ?
미국 사이트로 공격은 7월 4일에 발생했다고 한다.
- 7월 4일 ? 미국 독립기념일인데...
이 악성코드가 국내에 첫 보고된건 2009년 7월 5일 일요일이었다.
그때부터 우리나라에서 미국 사이트로의 공격은 시작되었다.
그런데, 국내에는 7월 7일에 국내 사이트가 공격 받으면서 크게 알려졌다.
왜 그럴까 ?!
악성코드 초기 버전이 만든 uregvs.nls 파일을 보면 한국 관련 사이트는 없고 미국 정부 사이트만 공격했음을 알 수 있다.
초기 버전과 이후 한국 관련 사이트가 추가된 이후 버전
이후 한국 사이트는 새롭게 추가된 것이다.
따라서, 공격 리스트는 다음과 같다.
* 공격 사이트 변화
(다음 내용은 팀내 모 님께서 변환해 주신 자료입니다.)
- 한국 시간 기준입니다. 해외는 달라집니다.
---------------------------------------------------
#1 uregvs.nls
---------------------------------------------------
2009/07/05 02:00 ~ 2009/07/05 14:00
최초 공격. 미국 몇개 사이트만 공격했습니다.
www.whitehouse.gov
whitehouse.gov
www.faa.gov
faa.gov
evisaforms.state.gov
---------------------------------------------------
#2 uregvs.nls
----------------------------------------------------
2009/07/05 22:00 ~ 2009/07/06 07:00
사이트가 더 추가됩니다.
www.whitehouse.gov
www.faa.gov
www.ustreas.gov
www.dhs.gov
www.state.gov
www.dot.gov
www.ftc.gov
www.nsa.gov
www.usps.gov
www.voa.gov
www.yahoo.com
www.defenselink.mil
travel.state.gov
www.nyse.com
www.nasdaq.com
www.site-by-site.com
www.marketwatch.com
finance.yahoo.com
www.usauctionslive.com
www.usbank.com
www.amazon.com
---------------------------------------------------------------
#3 uregvs.nls
---------------------------------------------------------------
2009/07/05 22:00 ~ 2009/07/06 18:00
www.voa.gov 대신 www.voanews.com 로 바뀝니다.
www.whitehouse.gov
www.faa.gov
www.ustreas.gov
www.dhs.gov
www.state.gov
www.dot.gov
www.ftc.gov
www.nsa.gov
www.usps.gov
www.voanews.com
www.yahoo.com
www.defenselink.mil
travel.state.gov
www.nyse.com
www.nasdaq.com
www.site-by-site.com
www.marketwatch.com
finance.yahoo.com
www.usauctionslive.com
www.usbank.com
www.amazon.com
---------------------------------------------------------------
#4. uregvs.nls
---------------------------------------------------------------
2009/07/07 18:00 ~ 2009/07/08 18:00
- 7월 7일 발생한 국내 공격. 한국 정부 사이트와 미국 사이트를 공격합니다.
www.president.go.kr
www.mnd.go.kr
www.mofat.go.kr
www.assembly.go.kr
www.usfk.mil
blog.naver.com
mail.naver.com
banking.nonghyup.com
ezbank.shinhan.com
ebank.keb.co.kr
www.hannara.or.kr첫
www.chosun.com
www.auction.co.kr
2009/07/07 21:00 ~ 2009/07/08 07:00
www.whitehouse.gov
www.faa.gov
www.dhs.gov
www.state.gov
www.voanews.com
www.defenselink.mil
www.nyse.com
www.nasdaq.com
finance.yahoo.com
www.usauctionslive.com
www.usbank.com
www.washingtonpost.com
www.ustreas.gov
---------------------------------------------------------------
#5. uregvs.nls
---------------------------------------------------------------
- 7월 8일 보안 업체 등을 추가한 2 차 공격
2009/07/08 18:00 ~ 2009/07/09 18:00
www.mnd.go.kr
www.president.go.kr
www.ncsc.go.kr
mail.naver.com
mail.daum.net
mail.paran.com
www.auction.co.kr
www.ibk.co.kr
www.hanabank.com
www.wooribank.com
www.altools.co.kr
www.ahnlab.com
www.usfk.mil
www.egov.go.kr
- 3 차 공격
2009/07/09 18:00 ~ 2009/07/10 18:00
mail.naver.com
mail.daum.net
mail.paran.com
www.egov.go.kr
www.kbstar.com
www.chosun.com
www.auction.co.kr
악성코드 작성 일시를 보면 최초 버전은 2009년 7월 5일임을 알 수 있다.
즉, 미국 사이트를 공격하는 초기 버전을 작성하고 (미국 현지 시간은 7월 4일 독립기념일) 이후 국내 사이트를 추가했음을 알 수 있다.
그럼.. 작성 날짜와 시간별로 변형들과 증상을 정리해보면 다음과 같다.
- 2009/07/05 08:51:56 UTC : 미국 정부 사이트만 공격
- 2009/07/05 11:17:28 UTC : 미국 정부 사이트만 공격
- 2009/07/06 04:21:24 UTC : 미국 정부 사이트만 공격
- 2009/07/06 06:23:02 UTC : 미국 정부 사이트만 공격
- 2009/07/07 04:22:54 UTC : 한국 사이트 + 미국 사이트
즉, 악성코드 제작자는 2009년 7월 5일 (혹은 그 이전)에 처음 악성코드를 배포했을 때는 미국 정부 사이트만 공격했고 7월 7일 새벽에 만든 버전부터 국내 사이트를 추가했음을 알 수 있다.
악성코드 제작자는 처음부터 한국 정부 사이트를 노린게 아니라....
미국 정부 사이트를 노렸다. 그것도 미국 독립 기념일인 7월 4일에 맞춰서...
그후에 한국을 그냥 추가했을 뿐이다.
(무슨 음모론 같은...)
혹은 반대로 미국을 테스트하고 마지막으로 한국을 넣었을지도...
진실은 저 너머에....
'악성코드 > 악성코드 분석' 카테고리의 다른 글
| 정상 파일 검색 서비스 (2) | 2010/02/17 |
|---|---|
| 악성코드에서 사용하는 방화벽 해제 (4) | 2009/11/16 |
| 수상한 파일 찾기 (0) | 2009/10/08 |
| 자동분석 시스템으로 분석하기 힘든 샘플 (2) | 2009/09/21 |
| 정상파일 위장 악성코드 분석 (2) | 2009/08/28 |
| 네이버, 옥션, 청와대 공격 악성코드 분석 (13) | 2009/07/08 |
트랙백 주소 : http://xcoolcat7.tistory.com/trackback/522
-
Subject : 네이버, 옥션, 청와대 접속 문제의 비밀
Tracked from 쿨캣의 블로그 놀이 2009/07/08 16:27 삭제2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다. "지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘." 집에 도착해 확인해보니 별다른 얘기가 없고 기사만 몇가지 올라와 있었다. 7월 7일 오후 6시부터 네이버 메일 및 쪽지 서비스 장애가 발생했다고 한다. 이후 기사를 통해 네이버 메일과 옥션 외에 조선일부와 청와대도 접속 장애가 발생하고 있음을 알 수 있었다. - '사상 초유' 국내 주요사이트 해킹 '인..
-
Subject : 주요 사이트에 DDoS 공격 발생
Tracked from Programming Internals 2009/07/08 17:15 삭제어제(2009년 7월 7일) 주요 국내웹사이트(청와대, 국회, 국방부, 옥션, 네이버메일, 조선닷컴, 농협 등의 일부 은행,...)에 분산 서비스 거부 공격이 있었다. 옥션의 경우 오늘도 접속이 원활하지 않은 것으로 보인다. 현재(7월8일 오전 10시) 옥션 접속을 하면 페이지를 표시할 수 없다고 나온다. (지금까지 일부 사이트에 DDoS공격
-
Subject : 기사마의 생각
Tracked from gihoon81's me2DAY 2009/07/08 18:18 삭제저는 좋은 정보를 얻은 블로그의 구글ad 를 클릭해 줍니다. 요기 >네이버, 옥션, 청와대 공격 악성코드 분석< 도 좋음~
-
Subject : DDoS 공격의 가해자가 되지 말자!
Tracked from 울지않는벌새 : Security, Movie & Society 2009/07/08 18:35 삭제어제 저녁부터 시작된 공격자를 알 수 없는 DDoS 공격으로 인하여 국내 일부 유명 사이트들이 접속이 되지 않는 일이 있었습니다. 국내 대형 사이트 공격 피해 (2009.07.07) 이로 인하여 정부 차원에서 수사가 진행 중이라고 언론에 보도되고 있으며, 국내 보안업체에서는 긴급 경고를 통해 DDoS를 유발하는 좀비PC에 설치된 악성코드를 제거할 수 있도록 지원하고 있습니다. 출처 : 안철수연구 이런 DDoS 공격의 경우 공격자가 배포되는 악성코드가..
-
Subject : 좋은진호의 생각
Tracked from truefeel's me2DAY 2009/07/08 19:09 삭제이번 DDoS공격한 악성코드 분석 자료. (쿨캣님) 초기 악성코드에는 한국 사이트가 없었군요. 한국 사이트는 목록에 어제 추가.
-
Subject : 네이버, 청와대 접속불가 사태 정리 - 악성코드의 DDoS 공격
Tracked from chatii의 웹노트 2009/07/08 19:51 삭제7월 7일, 네이버와 청와대 등 주요 웹사이트에 접속이 되지 않는 사태의 직접적인 원인은 악성코드입니다. 악성코드에 감염된 수만 대의 개인 PC에서 서버에 대해 DDoS 공격을 감행함으로써 생긴 문제인데, 해킹과는 달리 개인정보가 유출되거나 하지는 않으므로 일단은 안심하셔도 좋습니다. 악성코드 피해 일지 최초의 공격 리스트에는 국내 사이트가 없었다. 이 악성코드에 의한 피해는 지난 7월 4일 미국에서 처음 보고되었습니다. 원래는 백악관과 미 연방 항..
-
Subject : [DDoS] 국내외 주요 사이트 공격 피해 - 사이버 테러
Tracked from Virus Lab 2009/07/08 20:13 삭제악성코드의 분산 서비스 거부 공격(DDoS)에 의해서 국내외 주요 웹 사이트들이 부분적으로 접속되고 있지 않다. http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=69 - 韓美 동시 겨냥 사이버공격 소행자는 http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=100&oid=001&aid=0002753212 - DDoS '공격 지..
-
Subject : PC가 악성 봇에 감염되었는지 확인하세요.
Tracked from 초보 개발자의 항해일지 2009/07/08 22:09 삭제KISA에서는 DDoS에 대비하여 싱크홀 프로젝트를 진행하고 있습니다. 그와 연계하여 PC가 악성 봇에 감염되었는지 아닌지를 확인할 수 있는 서비스도 제공하고 있지요. 이 서비스는 별도의 프로그램을 설치하지 않고 KISA의 싱크홀로 패킷을 보내는 IP인지를 비교하여 악성 봇의 감염 여부를 확인합니다. 만약 악성 봇에 감염되었다면 싱크홀로 패킷이 보내진다고 하는군요. 서진원 연구원님이 예전 컨퍼런스에서 홍보를 부탁했었는데 이제서야 글을 쓰는군요. ^...
-
Subject : [DDoS]Memory of the Independence Day
Tracked from Virus Lab 2009/07/09 01:23 삭제DDoS 악성코드와 관련하여 파일들을 분석하는 과정에서 일부 샘플에서 Memory of the Independence Day 라는 내용을 발견했습니다. 초기 샘플들이 미국의 독립기념일인 7월 4일부터 보고된 것과 일치되는 부분이기도 합니다. Memory of the Independence Day : 독립기념일을 기억하라
-
Subject : 2009.07.07 DDoS 공격...
Tracked from Welcome to the "HS" 2009/07/09 02:10 삭제지금이 9일 새벽 1시 30분 경이니까.. 이틀전이군요. 7일 오후 무렵부터 이상하게 일부 웹사이트에 접속이 안되길래...;; 일시적인 문제려니 하고 대수롭지 않게 넘어갔는데~ DDoS 공격 때문이었네요. 다음은 악성코드 분석 전문가이신 "쿨캣"님께서 블로그에 올린 이번 사건 관련 포스팅입니다. <쿨캣의 블로그 놀이> 네이버, 옥션, 청와대 접속 문제의 비밀 <쿨캣의 블로그 놀이> 네이버, 옥션, 청와대 공격 악성코드 분석 보안의 중요성과 함께 악성..
-
Subject : 777 Virus의 실체
Tracked from IPodtouch Finger Job 2009/07/09 14:39 삭제(사진출처 CNN) 우선 777바이러스가 명한 까닭은 7월 7일 저녁7시에 시작되어서이다 앞으로 777이라 부르기로 하겟다. 7월 7일 저녁 7시에 전국의 수만대의 컴퓨터에서 일제히 국내 13개 주요사이트 미국 23개 주요사이트에 과부하 트랙픽을 쏘기 시작했다. 한대의 컴퓨터에서 발생시키는 트래픽양은 미미하나 초당 수백번을 발생시켜 수만대의 컴퓨터에서 일제히 쏘기 시작하면 어떠한 서버라도 감당하기 힘들것이다. 이번 DDOS공격이 유별난 점은 제어서버..
-
Subject : DDoS 악성코드들의 연관 관계 상세 분석
Tracked from ASEC Threat Research 2009/07/10 04:13 삭제2009년 7월 7일 대한민국에서는 분산 서비스 거부 공격(DDoS)으로 인해 다수의 정부와 민간 업체들의 홈페이지가 접속 불능이 되는 사고가 발생하였다.이번 사고에 대해 ASEC에서는 7월 6일 저녁 무렵부터 신속하게 분산 서비스 거부 공격이 발생한 원인을 파악하기 시작하여 7월 7일 새벽 이번 공격은 다수의 악성코드에 의해서 발생한 것으로 파악하였다.이 번에 발생한 분산 서비스 거부 공격은 하나의 악성코드에 의해서 동시 다발적으로 발생한 것이...
댓글을 달아 주세요
벌새 2009/07/08 17:01 댓글주소 수정/삭제 댓글쓰기
역시 중국에서 만들어진 것 같군요.
한국을 유포지로 하기 위해 한국 좀비 PC를 만들어서 미국으로 공격한 후, 감사의 뜻으로 한국도 포함해 준 것 같아요. ㅎ
아무래도.. 그런 듯 합니다.
감사의 뜻으로..에서 순간.. 풉.. (+__)ㅋ
iwillhackyou 2009/07/08 17:21 댓글주소 수정/삭제 댓글쓰기
중복 실행을 v3이름을 빌려서 체크하는 군요 -_-;
해킹툴이 버전 올라갈 때마다 문자열로 대화를 시도하던게 생각나네요..
요즘에 mutex나 파일 이름은 안랩이나 V3로 가장한 중국산 샘플들이 많습니다. 제작자 만나면 한번 물어보고 싶네요. 차라리 중국 만세라고 넣지 @.@.... 왜 자신들의 적(?)을 사칭하는지... .쩝
둘리 2009/07/08 17:38 댓글주소 수정/삭제 댓글쓰기
7월 4일에 미국 사이트를 초토화 시킨 후 7월 5일에 국내에 첫 보고 되었다..
이 말을 다시 풀이 하면 무서운넘들을 5일날 발견 했는 데 설마 우리나라까지 그러겠어?하는 안일함으로 지켜보다가 7일부터 지금까지 해당 악성코드의 무서움을 몸소 느끼고 있다.는 말로도 들리는 군요.. 이그..
5일이나 6일에 좀 대비를 했으면 이렇게 크게는 안당했을텐데..;; 완전 뒷북 행정이군요..
아.. 시간차가 있으니까요. 미국 7월 4일일 때 우리나라는 7월 5일이었는데.. 문제는 공격이 미국으로 이뤄져서 국내에서는 몰랐거나 알아도 무시(?)했거나 그랬을 겁니다. 그리고 7월 7일에 문제가 발생했을 때 밤 11시쯤 문제 샘플이 발견되었는데 이미 V3에서 진단되고 있었습니다. 이슈는 1만 8천대의 컴퓨터에 백신이 안 깔려있거나 최신 버전이 아니었겠죠. (V3가 아니었거나....)
아리새의펜촉 2009/07/08 22:09 댓글주소 수정/삭제 댓글쓰기
우와! 분석 잘 하셨네요. 참 혹시 샘플 구할 수 없을까요?
죄송합니다. 회사 정책상 악성코드 샘플의 외부 유출이 엄격히 제한되어 되어 있습니다. 이점 양해 부탁드립니다.
숲속얘기 2009/07/09 11:17 댓글주소 수정/삭제 댓글쓰기
수고하십니다. 란 말 밖에는.. ^^; 이번 기회에 보안에 대한 시선개선이나 법령이라도 좀 생겼으면 좋겠네요.
예전에도 이런일 몇번있었지만.. 시간 지나면 그냥 잊혀 지더라구요 TT
avideditor 2009/07/09 13:57 댓글주소 수정/삭제 댓글쓰기
동아일보기사...김정운DDOS사이버공격조 기사보고 웃겨죽는줄알았습니다..^^;
참 한심하다는 생각이..
좋은글 잘 봤습니다.감사합니다..
진실은 저 너머에.. 아무도 모르겠죠 TT