보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다.
이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다.
2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다.
2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다. 취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다.
취약점을 가진 워드에서 변조된 문서를 열면 dll 파일이 떨어지고 실행된 후 ~KB8467501.tmp 파일에 최종 감염된 백도어 코드를 쓴다.
시스템에는 최종적으로 KB01b80cc5.dll 등의 이름을 가진 백도어 파일에 감염된다.
국내에서도 2011년 봄 동일한 CVE-2010-3333 취약점을 이용한 공격이 존재했었다.
국내에 발견된 변형은 내부에 RAR로 압축된 파일을 포함하고 있었다.
관련 악성코드는 특징적으로 익스포트(Export) 함수에 SafeSvcInstall, SafeSvcMain, SafeSvcUninstall가 존재한다. 의심스러운 파일 중 해당 익스포트 함수를 가지고 있다면 분석을 위해 보안 업체에 신고하자.
백도어 프로그램으로 원격 제어, 키로깅 등의 기능을 가지고 있다.
ASD(AhnLab Smart Defense)에 수집된 파일 중 동일 익스포트 이름을 사용하고 있는 파일은 2010년 부터 약 200 개가 수집되었다. 이들 파일의 관련성은 추가로 파악해봐야 알 수 있지만 동일 공격자 혹은 동일 그룹의 소행이라면 적어도 2010년 이후 4년 동안 국내외를 대상으로 꾸준한 공격 시도 가능성이 높다.
V3 제품군에서는 다음과 같은 진단된다.
Backdoor/Win32.Etso
Dropper/Exploit-cve-2010-3333
Trojan/Win32.Etso
Dropper/Agent.145096
Rtf/Exploit
안랩에서는 관련 공격을 계속 추적할 예정이다.
[참고자료]
- http://cryptam.com/docsearch.php?sha256=52c5131ad098721be54d9d8a2f6ab3f07375239339b44d26096d80f1458e3aa2
- http://cryptam.com/docsearch.php?sha256=11f60c5fee574c21ffdde162c076a81dc01a2f92846862bee2b3a405ec3486a5
'악성코드 정보' 카테고리의 다른 글
| 국방표준종합정보시스템 VPN 사용자를 겨냥한 악성코드 CHM (0) | 2014.11.06 |
|---|---|
| 정상파일을 위장한 PlugX 악성코드 유포 (0) | 2014.09.25 |
| ☆돌☆잔☆치☆초☆대☆장☆ 보냈습니다. (0) | 2014.09.17 |
| 가상화폐 채굴을 노린 리눅스 싸보봇(SsaboBot) 악성코드 (0) | 2014.09.15 |
| V3 모바일, 만점으로 AV-TEST 글로벌 인증 10회 연속 획득 (0) | 2014.09.04 |
댓글