침해사고 분석 패킷 - 악성코드 분석 - 5

 

packet total에서 한번열어보면

 

50.56.223.21 에서 redirection이됬다

 

 

 

network miner로 열어봤을떄 

 

해커가 취약한 웹사이트라서 그럴수있다.

 

한번 그쪽을보면

 

 

index.html 파일이 숨겨져있고

메모장으로 열어보면

iframe  리다이렉션하는 코드가 숨겨져있었습니다

iframe이 있다고 무조건 악성코드는 아니지만 매우 의심을해볼수잇었습니다.

 

 

보안때문에 iframe 은 왠만하면 막아둡니다.

 

 

 

케르베르 악성코드라고도하고 유명한 랜섬웨어이다

 

 

플래쉬는 자동으로 실행되기때문에 악성코드가 자동으로 실행되기때문에

다운받기만하면자동실행된다.

 

 

 

 

 

 

network miner에서 잘보면

 

네트워크 대역 전체를 전부다 스캔을 한것입니다.

 

 

그이유는 31.184.234.0 이포함된 전부 스캔을 햇기때문입니다.

 

 

 

만약 랜섬웨어에 감염되면 그pc는 버려야합니다.

 

 

 

 

 

 

 

 

이거를 잘보면 

 

요패킷들만 보고 추측을하면

 

악성코드를 사용하는 별도의 dns서버를 사용한것같다.

ip를 직접치는게아니라 domain을 하나둔것이다

 

 

 

 

 

 

 

 

dns를 날리고 cnc 가 왔는데

 

 

 

 

 

 

 

 

 

조금 이상한주소의 url이 존재했었다

 

 

 

 

 

 

 

 

url 로 리다이렉션 된뒤에 악성코드 (케르베르 악성코드)를다운받게되고

 

 

31.184.234.1~254  udp 접속시도를 한뒤에

 

 

 

 

 

 

 

 

URL 을 거쳐서 URL을 요청을하고

비트코인의 주소체크 하는 서버에서 주소를받아와서

비트코인 지갑체크( 148.251.6.214)

 

 

 

 

 

 

CNC 서버에서 암호화 복호화키를 줘야하는데

 

악성코드 C&C서버

(감염자에게 복호화 키 전송)

173.254.231.111 

 

 

 

 

 

 

 

=======================

 

 

 

 

 

결론

 

피해자가

url 로 리다이렉션 된뒤에 악성코드 (케르베르 악성코드)를 다운받게되고

그 악성코드는 플래쉬 형식이라서 다운받으면 자동으로 실행이된다.

 

 

10.14.106.192->31.184.234.1~254 

udp 접속시도를 한뒤에

 

 

URL 을 거쳐서 URL을 요청을하고

10.4.29.3

비트코인의 주소체크 하는 서버에서 주소를받아와서

비트코인 지갑체크( 148.251.6.214)

 

악성코드 C&C서버(173.254.231.111 )는 그것을 통제하고

그것을 공격자에게 전송을합니다

 

 

 

 

 

 

==============================

 

악성코드를 찾아보면

10.14.106.192 에게있으니까 찾아보면

 

 

 

악성행위에서 나온 사이트중에서 다운받은것중

flash 를 찾았을때는 저거였다.

 

 

 

 

network miner에서

 

index.php.swf은

falsh 파일이 바이러스라는것은 확인이됬다 

 

이 flash 파일을 열려면

 

밑에파일을 이용한다

 

 

 

serial for sothink swf decompiler 3.7을 다운받아서 열 어보면

 

 

swf 파일을 분석하는 것 입니다. 

 

 

 

 

 

 

 

 

 

 

 

type이 null이였는데 악성코드는아니였습니다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

제대로 랜섬웨어를 찾기는했지만

swf 플래쉬를 자세하게안에서 보지는 못했습니다.

 

 

랜섬웨어 조심하자!