작년부터 Magnitude EK 급증으로 인한 정리
hxxp://alteryog***.net/ (원인)
-> 감염 원인 사이트 찾기가 관건
+ 감염 원인 사이트에 의해 아래 코드가 동작된다
+ 위 사이트를 디코딩 하면 주소가 나오지만 1회성 도메인이다 (단, IP는 유효하다고 판단)
96&1032=32&572=1024&1041=1024&1492=0& (1회성 도메인, 217.172.190.49)
+ 악성 행위 동작 흐름 확인 (현재 동작되지 않음)
hxxp://64nd25fg2e30n7i.diskpop.bid (실제 악성코드 스크립트, 79.137.44.133)
hxxp://64nd25fg2e30n7i.diskpop.bid/8rb36z2671
hxxp://64nd25fg2e30n7i.diskpop.bid/ccjebk01ycp5 (CWS, zlib 압축)
hxxp://64nd25fg2e30n7i.diskpop.bid/ccjebk01ycp5 (ZWS, LZMA로 압축) **
hxxp://79.137.44.133/2bd82ce8ded0210a2b4ec0d0b6767336
hxxp://64nd25fg2e30n7i.diskpop.bid/a434830a5322674eabea5de2c81a3536 (MZ)
hxxp://79.137.44.133/c10fc4e62342ba5d21a756734183c192 (MZ)
hxxp://64nd25fg2e30n7i.diskpop.bid/win%2013,0,0,182 (ZWS)
hxxp://64nd25fg2e30n7i.diskpop.bid/2c3058c42fc2398a75c4d5f5e2e7e8f5 (MZ)
-> 원인 사이트에 접근 후 LZMA 압축형태인 플래쉬 파일에 접근한 이력이 있다면 감염되었다고 판단됨
FE 사이트 참조
https://www.fireeye.com/blog/threat-research/2016/04/cve-2016-1019_a_new.html
- Magnitede EK -
'공부 > 콤퓨타' 카테고리의 다른 글
Magnitude EK 패턴확인 (0) | 2017.05.12 |
---|---|
powershell + zlib 압축구조 악성코드 (0) | 2017.05.11 |
ImageMagick RCE (0) | 2017.03.09 |
뱅커류 패턴 변화 (0) | 2016.11.25 |
wsf(Windows Script File) 랜섬웨어 변종 (0) | 2016.08.17 |