악성코드 감염으로 알려진 일본 재무성 침해 사고 Posted By ASEC , 2012년 8월 21일 2012년 7월 21일 일본 국내 언론들을 통해 “Finance Ministry reveals 2010-2011 computer virus; info leak feared” 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다. ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다. 이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인젝션하게 된다. C::[악성코드 실행 경로]tabcteng.dll (114,688 바이트) 그리고 다음 레지스트 경로에 키 값을 생성하여 감염된 시스템이 재부팅하더라도 자동 실행 되도록 구성하게 된다. HKLMSYSTEMControlSet001ServicesNetmanParametersServiceDll “C:[악성코드 실행 경로]tabcteng.dll” 감염된 시스템에 존재하는 인터넷 익스플로러(Internet Explorer)의 실행 파일 iexplorer.exe를 실행 시켜 HTTP로 외부에 존재하는…
