태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

6.25 사이버 공격에 대한 다른 시각과 분석>

http://p4ssion.com/375


관련하여 zip.exe 파일의 내용이 트로이 목마와 정보탈취용으로 언급한 바가 있습니다. 불필요한 언급들이 있어서 추가 다운로드 파일까지 확인된 모든 내역을 공개 합니다.




5.31일과 6.1일 이미 사전 좀비 PC 확보를 위한 노력들이 있었다는 것을 PCDS를 통해서 확인하고 알려 드린바가 있습니다. 해당 시점에 송사리와 심디스크 사이트가 경유지로 동시에 이용 당한 정황이 있었고 , 6.25일 공격에 두 사이트의 업데이트 파일이 이용된 정황이 발견 됨에 따라 연관 관계를 분석하여 전달 드린 바가 있습니다.

악성파일은 zip.exe 이고 두 종류의 zip.exe 파일이 존재합니다.
감염 이후 추가 다운로드 파일들도 있는 상태로 유포시점에 확인이 되었고, 추가 다운로드 및 변경된 zip.exe 파일까지 모두 포함하여 5종의 악성파일을 확인 하였습니다.

해당 파일들은 모두 6월초의 정보제공 서비스 가입기업에게 위협레벨에 따라 정보공유 된바가 있습니다.

일각에서 초기 악성파일의 특성 (게임계정탈취)만을 가지고 문제가 있다고 언급하는 곳들이 있어서 명확하게 알려 드립니다.

지난 주에 검증까지 완료 되었지만, 말씀을 드리지 않았는데 불필요한 추정과 언급을 끝내기 위해 자체 검증과는 별도로 시만텍과 공조하여 검증된 내용으로 확인 드립니다.

logo.jpg_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.Gen
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=24060>

server.exe_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.FakeAV
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=19446>

tvk.exe_0C0052C8EBE1C881C17E71FDDA575E94_bitscan Infostealer.Donx
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=54300>

tvk.exe 파일의 경우 Backdoor이며 시만텍의 분류에는 유명한 Red October 류의 트로이 목마로 분류하고 있네요. 워드와 엑셀로 메일을 통해서만 침입 하는 걸로 알려졌던 그 유형입니다. 




zip.exe_12C76FEE19D6460825CEAF0DAB9692C7_bitscan Infostealer.Gampass
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=40673>

zip.exe_7EBA645D591C8B6E8DD9F8B2673C0FA6_bitscan Trojan Horse
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=689>

송사리와 심디스크가 경유지중 하나로 이용된 악성링크에서 추가로 유포된 악성파일 5종에 대한 시만텍의 분석 내용입니다. 이중 처음에 유포된 것이 zip.exe Infostealer로 게임계정 탈취 버전이고 그 이후 유포된 것이 트로이 목마가 되겠습니다.

추가 다운로드까지 포함하여 트로이 목마 계열이 3종이 포함 되어 있었음을 공식적으로 알려 드립니다. 

감사합니다.

저작자 표시 비영리
신고
Posted by 바다란