ads

Kimsuky 그룹, ADS를 활용하여 악성코드 은폐

AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다.     터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다.   hostname systeminfo net user query user route print ipconfig /all arp -a netstat -ano tasklist tasklist /svc cmd.exe” /c dir “C:\Program Files“ cmd.exe” /c dir “C:\Program Files (x86)” cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs” cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”…

ZeroAccess로도 알려진 Smiscer 변형

제로엑세스(ZeroAccess)로도 알려진 스미서(Smiscer) 변형은 얼마 전 국내 언론의 “악성코드 ‘제로액세스’, 전 세계 900만대 감염시켜” 기사를 통해 전 세계적으로 많은 감염 피해를 유발하고 있다. ASEC에서는 9월 초에 발견된 스미서의 변형에 대해 상세한 분석을 통해 이 번에 발견된 스미서 변형이 어떠한 방식으로 동작하는지 파악하였다. 우선 스미서 변형의 감염 기법을 이해하기 위해서는 EA(Extended Attributes)에 대한 이해가 선행되어야 한다.  EA(Extended Attributes)는 원래 HPFS(High Performance File System)에 있는 기능을 NTFS에서 구현 해 놓은 것을 말하며, 쉽게 설명하면 파일의 추가적인 속성을 “Name=Value” 처럼 환경 변수 형태로 파일에 붙이는 것을 이야기 한다.   윈도우 시스템에서는 ZwSetEaFile과 ZwQueryEaFile 두 개의 API로 해당 값들을 Set 혹은 Query 할 수 있게 제공하고 있으며 FILE_FULL_EA_INFORMATION이라는 구조체의 링크드 리스트(Linked List)로서 EA를 구현해 놓았다. 물론 EaValueLength가 2 Byte 변수이므로 최대 64K 바이트(Byte)까지 값을 쓸수 있다. 위 이미지와 같은…

폴더가 바로가기 아이콘으로 : ADS 형태로 실행되는 VBS/Autorun

최근 ADS(Alternate Data Stream)의 형태로 실행되는 VBS/Autorun 악성코드의 감염에 의한 피해가 꾸준히 발생되고 있습니다.   ADS(Alternate Data Stream)에 대한 정보는 아래의 링크를 참조하시기 바랍니다. 링크 : NTFS 파일 시스템의 숨겨진 영역 1. 감염증상 – 각 루트 드라이브(C:, D:, …)의 폴더들이 ‘바로가기’ 파일의 형태로 확인   – 바탕화면의 [내 컴퓨터]를 실행하여도 반응이 없음 – 레지스트리 편집기(Regedit.exe) 툴이 실행 후 바로 종료되는 등의 증상 발생 2. 생성파일 및 레지스트리 정보 – 아래의 파일이 생성 각 루트 드라이브에 [10자리 숫자].vbs, autorun.inf %Windir%explorer.exe:[10자리 숫자].vbs %Systemroot%system32 smss.exe:[10자리 숫자].vbs – 레지스트리 정보 bat, chm, cmd, hlp, inf, ini, reg, txt 파일들에 대한 연결 파일 변경 등 3. 조치방법  위의 증상을 포함하는 악성코드에 감염된 경우, 각종 레지스트리 값의 변경으로 인해 사용자들께서 수동으로 조치하기에는 어려움이 있을 것으로 판단됩니다….