침해사고 분석 패킷 - 악성코드 분석 - 6

 

 

1. 희생자

 

10.4.26.101

 

 

2. 악성코드 유포 서버

 

213.136.26.180

(smulapapentocht.be)에서 

리다이렉션으로인해 악성코드(exe형태)를 받게됬다

 

그리고 서버가 ip가박혀있어서 dns요청을 안해서 바로이동됬다고생각할수있다.

smulpapentocht.be

 

3. redirect 서버

 

185.189.14.112때문에 185.189.14.112가 리다이렉션됬다

 

 

 

4.cnc 서버

 

94.198.98.20

 

 

 

 

 

 

위에서 잘보면 213.136.26.180(악성코드 배포서버)에서 

 

 

exe가 다운받은 것을 확인할수있엇는데

저기서 그파일을 한번보면 html파일이였다

하지만 그파일을 .exe로 변경을해보게되면

 

이런식으로 바꼇고

 

바이러스 토탈에서 한번 이파일을 검사하게되면

 

 

바이러스가 존재하였습니다.

 

 

 

redirection을 그전처럼 대놓고 주지않습니다.

 

최대한 꼬아서 숨겨놓습니다.

 

 

 

피해자가 변조된지 몰르고 접속한 사이트 servisedelivery.com

일단 network miner로 한번 찾아봅시다  리다이렉션한 코드를

 

 

 

http 요청을 한번보면

저php 떄문에그런거같습니다

 

 

network miner에서 한번살펴보면

lgen.php가있습니다.

 

이파일을 한번 열어보면

 

 

파일이 엄청나게컷습니다.

 

이것을 크롬에서열어보면

 

이렇게나오는데 download 를 한번눌러보면

 

 

 

이렇게나오는데  잘보면 jgen.php라고 url 이 변경된것을 알수가있습니다

 

한번 그 이유를 찾아보면

 

 

 

 

 

statusdelibery.com/lgen.php

-> 위에것이 redirection되서

statusdelibery.com/jgen.php

이것이 된것이라고생각하지만.

 

 

 

 

코드는 없지만  이주소는

여기입니다

 

 

 

lgen.php-> jgen.php 로

 

 

 

그러면 여기서 생각해보기에는

이건 리다이렉션이라보기보다는

 

(사용자가 플로그인을 다운받는 링크인줄 알고 클릭했으나, jgen.php로 이동)

 

 

 

아까 봤던것을 보면

 

lgen.php는 html이지만

jgen.php는 실행파일을 연계시켜논 application 파일이였습니다

 

 

자 증거자료를 가지고 추측을 해보면

 

=========================================

 

statusdelibery.com/lgen.php

 

-> 위에것이 redirection(사용자가 플로그인을 다운받는 링크인줄 알고 클릭했으나, jgen.php로 이동)

 

statusdelibery.com/jgen.php(페이지가 존재하는게 아니라, 플러그인을 다운받는 주소)

 

 

=============================================

 

이렇게됬다고생각할수가있습니다.

 

이것만 가지고는 악성행위라고 판단을 할수가없지만.

 

 

 

 

 

 

이파일을 한번 저장해서 한번보기로 해보면

 

 

 

 

network miner에서는 이것.

 

 

 

 

 

여기서 보이는 이파일의 pk 시그니쳐는 zip 파일입니다.

 

 

 

 

 

 

 

 

50 4b 03 04          = zip파일

    p     k     

 

 

그리고 헥스에 열어야 정확한 시그니처랑 무슨파일인지를 알 수가있습니다.

 

 

 

그래서 애를 jgen.zip로 변경하면

 

zip 파일로 변경이됬습니다.

 

 

 

 

 

이렇게 파일이 생긴것을확인할수있습니다 

 

 

 

 

이걸 압축파일풀고 메모장으로 열어주면

 

 

 

 

이코드를 

 

난독화를 3번을해야한다.....

 

다음글에..