์ต๊ทผ ๋ช ๋
๋์ ๋ชจ๋ฐ์ผ ํธ๋ก์ด ๋ชฉ๋ง๋ ๊ฐ์ธ์ฉ ์ปดํจํฐ์ ํธ๋ก์ด ๋ชฉ๋ง๋ฅผ ์ ๊ทน์ ์ผ๋ก ๋์ฒดํด ์์ต๋๋ค. ๋ฐ๋ผ์ ์ค๋๋ "์๋์ฐจ"์ ๋ํ ์๋ก์ด ์
์ฑ ์ฝ๋์ ์ถํ๊ณผ ์ฌ์ด๋ฒ ๋ฒ์ฃ์์ ์ ๊ทน์ ์ธ ์ฌ์ฉ์ ๋ถ์พํ์ง๋ง ์ฌ์ ํ ์ฌ๊ฑด์
๋๋ค. ์ต๊ทผ CERT Group-IB์ XNUMX์๊ฐ ์ ๋ณด๋ณด์์ฌ๊ณ ๋์์ผํฐ์์๋ Keylogger์ PasswordStealer์ ๊ธฐ๋ฅ์ ๊ฒฐํฉํ ์๋ก์ด PC ์
์ฑ์ฝ๋๋ฅผ ์จ๊ธฐ๊ณ ์๋ ํน์ดํ ํผ์ฑ ์ด๋ฉ์ผ์ ๋ฐ๊ฒฌํ์ต๋๋ค. ๋ถ์๊ฐ๋ค์ ์ธ๊ธฐ ์๋ ์์ฑ ๋ฉ์ ์ ๋ฅผ ์ฌ์ฉํ์ฌ ์คํ์ด์จ์ด๊ฐ ์ฌ์ฉ์ ์ปดํจํฐ์ ์ด๋ป๊ฒ ์นจํฌํ๋์ง์ ์ฃผ๋ชฉํ์ต๋๋ค. ์ผ๋ฆฌ์ ํฌ๋ฉ๋์ฒดํCERT Group-IB์ ์
์ฑ ์ฝ๋ ๋ถ์ ์ ๋ฌธ๊ฐ์ธ ๋ ์
์ฑ ์ฝ๋๊ฐ ์ด๋ป๊ฒ ์๋ํ๋์ง, ์ ์ํํ์ง ์ค๋ช
ํ๊ณ ๋จผ ์ด๋ผํฌ์์ ์ ์์๋ฅผ ๋ฐ๊ฒฌํ๊ธฐ๋ ํ์ต๋๋ค.
์, ์์๋๋ก ๊ฐ์. ์ฒจ๋ถ ํ์ผ๋ก ๊ฐ์ฅํ ํธ์ง์๋ ์ฌ์ฉ์๊ฐ ํด๋ฆญํ๋ฉด ํด๋น ์ฌ์ดํธ๋ก ์ด๋ํ๋ ์ฌ์ง์ด ํฌํจ๋์ด ์์ต๋๋ค. cdn.discordapp.com, ๊ฑฐ๊ธฐ์์ ์
์ฑ ํ์ผ์ด ๋ค์ด๋ก๋๋์์ต๋๋ค.
๋ฌด๋ฃ ์์ฑ ๋ฐ ๋ฌธ์ ๋ฉ์ ์ ์ธ Discord๋ฅผ ์ฌ์ฉํ๋ ๊ฒ์ ๋งค์ฐ ํ๊ฒฉ์ ์ ๋๋ค. ์ผ๋ฐ์ ์ผ๋ก ์ด๋ฌํ ๋ชฉ์ ์ผ๋ก ๋ค๋ฅธ ์ธ์คํดํธ ๋ฉ์ ์ ๋ ์์ ๋คํธ์ํฌ๊ฐ ์ฌ์ฉ๋ฉ๋๋ค.
๋ณด๋ค ์์ธํ ๋ถ์์ ํตํด ์
์ฑ ์ฝ๋ ๊ณ์ด์ด ์๋ณ๋์์ต๋๋ค. ์
์ฑ์ฝ๋ ์์ฅ์ ์๋ก ์ง์ถํ ๊ฒ์ผ๋ก ๋ฐํ์ก์ต๋๋ค. 404 ํค๋ก๊ฑฐ.
ํค๋ก๊ฑฐ ํ๋งค์ ๋ํ ์ฒซ ๋ฒ์งธ ๊ด๊ณ ๊ฐ ๊ฒ์๋์์ต๋๋ค. ํดํน ํฌ๋ผ 404์ 8์ผ 'XNUMX Coder'๋ผ๋ ๋๋ค์์ผ๋ก ์ฌ์ฉ์๊ฐ ์์ฑ.
์คํ ์ด ๋๋ฉ์ธ์ ์์ฃผ ์ต๊ทผ(7๋ 2019์ XNUMX์ผ)์ ๋ฑ๋ก๋์์ต๋๋ค.
๊ฐ๋ฐ์๊ฐ ์น ์ฌ์ดํธ์์ ๋งํ๋ฏ์ด 404ํ๋ก์ ํธ[.]xyz, 404 ํ์ฌ๊ฐ ๊ณ ๊ฐ์ ํ๋(ํ๊ฐ๋ฅผ ๋ฐ์ ๊ฒฝ์ฐ)์ ๋ํด ์ ์ ์๋๋ก ๋๊ธฐ ์ํด ๋๋ ๋ฆฌ๋ฒ์ค ์์ง๋์ด๋ง์ผ๋ก๋ถํฐ ๋ฐ์ด๋๋ฆฌ๋ฅผ ๋ณดํธํ๋ ค๋ ์ฌ๋๋ค์ ์ํด ์ค๊ณ๋ ๋๊ตฌ์
๋๋ค. ์์ ๋ด๋ค๋ณด๋ฉฐ ๋ง์ง๋ง ์์
์ผ๋ก ์ด๋ ๊ฒ ๊ฐ์ ํด ๋ณด๊ฒ ์ต๋๋ค. 404 ํ์คํ ๋์ฒํ์ง ๋ชปํฉ๋๋ค.
์ฐ๋ฆฌ๋ ํ์ผ ์ค ํ๋๋ฅผ ๋ค์ง์ด "BEST SMART KEYLOGGER"๊ฐ ๋ฌด์์ธ์ง ํ์ธํ๊ธฐ๋ก ๊ฒฐ์ ํ์ต๋๋ค.
์ ์ฑ์ฝ๋ ์ํ๊ณ
๋ก๋ 1(AtillaCrypter)
์์ค ํ์ผ์ ๋ค์์ ์ฌ์ฉํ์ฌ ๋ณดํธ๋ฉ๋๋ค. Eax ๋๋ ํ๊ธฐ XNUMX๋จ๊ณ ๋ก๋ฉ์ ์ํํฉ๋๋ค. AtProtect ๋ฆฌ์์ค ์น์ ์์. VirusTotal์์ ๋ฐ๊ฒฌ๋ ๋ค๋ฅธ ์ํ์ ๋ถ์ํ๋ ๋์ ์ด ๋จ๊ณ๋ ๊ฐ๋ฐ์๊ฐ ์ง์ ์ ๊ณตํ ๊ฒ์ด ์๋๋ผ ํด๋ผ์ด์ธํธ๊ฐ ์ถ๊ฐํ ๊ฒ์ด ๋ถ๋ช ํด์ก์ต๋๋ค. ๋์ค์ ์ด ๋ถํธ๋ก๋๊ฐ AtillaCrypter์ธ ๊ฒ์ผ๋ก ํ์ธ๋์์ต๋๋ค.
๋ถํธ๋ก๋ 2(AtProtect)
์ค์ ๋ก ์ด ๋ก๋๋ ์ ์ฑ ์ฝ๋์ ํ์์ ์ธ ๋ถ๋ถ์ด๋ฉฐ ๊ฐ๋ฐ์์ ์๋์ ๋ฐ๋ผ ๋์ ๋ถ์ ๊ธฐ๋ฅ์ ์ํํด์ผ ํฉ๋๋ค.
๊ทธ๋ฌ๋ ์ค์ ๋ก๋ ๋ณดํธ ๋ฉ์ปค๋์ฆ์ด ๋งค์ฐ ์์์ ์ด๋ฏ๋ก ๋น์ฌ ์์คํ
์ ์ด ์
์ฑ ์ฝ๋๋ฅผ ์ฑ๊ณต์ ์ผ๋ก ํ์งํฉ๋๋ค.
๋ฉ์ธ ๋ชจ๋์ ๋ค์์ ์ฌ์ฉํ์ฌ ๋ก๋๋ฉ๋๋ค. Franchy ์์ฝ๋ ๋ค๋ฅธ ๋ฒ์ . ๊ทธ๋ฌ๋ ๋ค์๊ณผ ๊ฐ์ ๋ค๋ฅธ ์ต์ ์ด ์ฌ์ฉ๋ ์๋ ์๋ค๋ ์ ์ ๋ฐฐ์ ํ์ง๋ ์์ต๋๋ค. RunPE.
๊ตฌ์ฑ ํ์ผ
์์คํ
ํตํฉ
์์คํ ํตํฉ์ ๋ถํธ๋ก๋์ ์ํด ๋ณด์ฅ๋ฉ๋๋ค. AtProtect, ํด๋น ํ๋๊ทธ๊ฐ ์ค์ ๋ ๊ฒฝ์ฐ.
- ํ์ผ์ ๊ฒฝ๋ก๋ฅผ ๋ฐ๋ผ ๋ณต์ฌ๋ฉ๋๋ค. %AppData%GFqaakZpzwm.exe.
- ํ์ผ์ด ์์ฑ๋ฉ๋๋ค. %AppData%GFqaakWinDriv.url, ์คํ ์ค Zpzwm.exe.
- ์ค๋ ๋์์ HKCU์ํํธ์จ์ดMicrosoftWindowsCurrentVersionRun ์์ ํค๊ฐ ์์ฑ๋์์ต๋๋ค WinDriv.url.
C&C์์ ์ํธ์์ฉ
๋ก๋ AtProtect
์ ์ ํ ํ๋๊ทธ๊ฐ ์์ผ๋ฉด ์ ์ฑ์ฝ๋๋ ์จ๊ฒจ์ง ํ๋ก์ธ์ค๋ฅผ ์์ํ ์ ์์ต๋๋ค. iexplorer ์ง์ ๋ ๋งํฌ๋ฅผ ๋ฐ๋ผ ์๋ฒ์ ์ฑ๊ณต์ ์ธ ๊ฐ์ผ์ ์๋ฆฝ๋๋ค.
๋ฐ์ดํฐ์คํธ๋ฌ
์ด๋ค ๋ฐฉ๋ฒ์ ์ฌ์ฉํ๋ ๋คํธ์ํฌ ํต์ ์ ํด๋น ๋ฆฌ์์ค๋ฅผ ์ด์ฉํ์ฌ ํผํด์์ ์ธ๋ถ IP๋ฅผ ํ๋ํ๋ ๊ฒ๋ถํฐ ์์๋ฉ๋๋ค. [http]://checkip[.]dyndns[.]org/.
์ฌ์ฉ์ ์์ด์ ํธ: Mozilla/4.0(ํธํ ๊ฐ๋ฅ, MSIE 6.0, Windows NT 5.2, .NET CLR1.0.3705;)
๋ฉ์์ง์ ์ผ๋ฐ์ ์ธ ๊ตฌ์กฐ๋ ๋์ผํฉ๋๋ค. ํค๋ ์กด์ฌ
|โโ- 404 ํค๋ก๊ฑฐ โ {์ ํ} โโ-|์ด๋์์ {์ ํ} ์ ์ก๋๋ ์ ๋ณด ์ ํ์ ํด๋นํฉ๋๋ค.
๋ค์์ ์์คํ
์ ๊ดํ ์ ๋ณด์
๋๋ค.
_______ + ํผํด์ ์ ๋ณด + _______
IP: {์ธ๋ถ IP}
์์ ์ ์ด๋ฆ: {์ปดํจํฐ ์ด๋ฆ}
OS ์ด๋ฆ: {OS ์ด๋ฆ}
OS ๋ฒ์ : {OS ๋ฒ์ }
OS ํ๋ซํผ: {ํ๋ซํผ}
RAM ํฌ๊ธฐ: {RAM ํฌ๊ธฐ}
______________________________
๊ทธ๋ฆฌ๊ณ ๋ง์ง๋ง์ผ๋ก ์ ์ก๋ ๋ฐ์ดํฐ์ ๋๋ค.
SMTP
ํธ์ง์ ์ฃผ์ ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค. 404K | {๋ฉ์์ง ์ ํ} | ํด๋ผ์ด์ธํธ ์ด๋ฆ: {์ฌ์ฉ์ ์ด๋ฆ}.
ํฅ๋ฏธ๋กญ๊ฒ๋ ๊ณ ๊ฐ์๊ฒ ํธ์ง๋ฅผ ์ ๋ฌํ๊ธฐ ์ํด 404 ํค๋ก๊ฑฐ ๊ฐ๋ฐ์์ SMTP ์๋ฒ๊ฐ ์ฌ์ฉ๋ฉ๋๋ค.
์ด๋ฅผ ํตํด ์ผ๋ถ ํด๋ผ์ด์ธํธ์ ๊ฐ๋ฐ์ ์ค ํ ๋ช
์ ์ด๋ฉ์ผ์ ์๋ณํ ์ ์์์ต๋๋ค.
FTP
์ด ๋ฐฉ๋ฒ์ ์ฌ์ฉํ๋ฉด ์์ง๋ ์ ๋ณด๊ฐ ํ์ผ์ ์ ์ฅ๋๊ณ ํ์ผ์์ ์ฆ์ ์ฝํ์ง๋๋ค.
์ด ์์
์ ๋
ผ๋ฆฌ๋ ์์ ํ ๋ช
ํํ์ง ์์ง๋ง ๋์ ๊ท์น์ ์์ฑํ๊ธฐ ์ํ ์ถ๊ฐ ์ํฐํฉํธ๋ฅผ ์์ฑํฉ๋๋ค.
%HOMEDRIVE%%HOMEPATH%DocumentsA{์์์ ์ซ์}.txt
ํ์ด์คํธ ๋น
๋ถ์ ๋น์์๋ ๋๋๋นํ ๋น๋ฐ๋ฒํธ๋ฅผ ์ ์กํ๋ ๊ฒฝ์ฐ์๋ง ์ด ๋ฐฉ๋ฒ์ ์ฌ์ฉํ๊ณ ์์ต๋๋ค. ๋ํ ์ฒ์ ๋ ๊ฐ์ง์ ๋ํ ๋์์ด ์๋๋ผ ๋ณ๋ ฌ๋ก ์ฌ์ฉ๋ฉ๋๋ค. ์กฐ๊ฑด์ "Vavaa"์ ๋์ผํ ์์ ๊ฐ์ ๋๋ค. ์๋ง๋ ์ด๊ฒ์ ํด๋ผ์ด์ธํธ์ ์ด๋ฆ์ผ ๊ฒ์ ๋๋ค.
์ํธ ์์ฉ์ API๋ฅผ ํตํด https ํ๋กํ ์ฝ์ ํตํด ๋ฐ์ํฉ๋๋ค. pastebin... ๊ฐ api_paste_private ๊ฐ์ PASTE_UNLISTED, ์ด๋ ๋ค์์์ ํด๋น ํ์ด์ง๋ฅผ ๊ฒ์ํ๋ ๊ฒ์ ๊ธ์งํฉ๋๋ค. pastebin.
์ํธํ ์๊ณ ๋ฆฌ์ฆ
๋ฆฌ์์ค์์ ํ์ผ ๊ฒ์
ํ์ด๋ก๋๋ ๋ถํธ๋ก๋ ๋ฆฌ์์ค์ ์ ์ฅ๋ฉ๋๋ค. AtProtect ๋นํธ๋งต ์ด๋ฏธ์ง ํํ๋ก ์ ๊ณต๋ฉ๋๋ค. ์ถ์ถ์ ์ฌ๋ฌ ๋จ๊ณ๋ก ์ํ๋ฉ๋๋ค.
- ์ด๋ฏธ์ง์์ ๋ฐ์ดํธ ๋ฐฐ์ด์ด ์ถ์ถ๋ฉ๋๋ค. ๊ฐ ํฝ์ ์ BGR ์์์ 3๋ฐ์ดํธ ์ํ์ค๋ก ์ฒ๋ฆฌ๋ฉ๋๋ค. ์ถ์ถ ํ ๋ฐฐ์ด์ ์ฒ์ 4๋ฐ์ดํธ๋ ๋ฉ์์ง ๊ธธ์ด๋ฅผ ์ ์ฅํ๊ณ , ๋ค์ ๋ฐ์ดํธ๋ ๋ฉ์์ง ์์ฒด๋ฅผ ์ ์ฅํฉ๋๋ค.
- ํค๊ฐ ๊ณ์ฐ๋ฉ๋๋ค. ์ด๋ฅผ ์ํด MD5๋ ๋น๋ฐ๋ฒํธ๋ก ์ง์ ๋ "ZpzwmjMJyfTNiRalKVrcSkxCN" ๊ฐ์์ ๊ณ์ฐ๋ฉ๋๋ค. ๊ฒฐ๊ณผ ํด์๋ ๋ ๋ฒ ๊ธฐ๋ก๋ฉ๋๋ค.
- ๋ณตํธํ๋ ECB ๋ชจ๋์์ AES ์๊ณ ๋ฆฌ์ฆ์ ์ฌ์ฉํ์ฌ ์ํ๋ฉ๋๋ค.
์
์ฑ ๊ธฐ๋ฅ
๋ค์ด
๋ถํธ๋ก๋์์ ๊ตฌํ๋จ AtProtect.
- ์ฐ๋ฝํ์ฌ [์กํฐ๋ธ๋งํฌ ๊ต์ฒด] ํ์ผ์ ์ ๊ณตํ ์ค๋น๊ฐ ๋์๋์ง ํ์ธํ๊ธฐ ์ํด ์๋ฒ์ ์ํ๊ฐ ์์ฒญ๋ฉ๋๋ค. ์๋ฒ๊ฐ ๋ฐํ๋์ด์ผ ํฉ๋๋ค. "์ ์์".
- ๋งํฌ [๋ค์ด๋ก๋๋งํฌ-๊ต์ฒด] ํ์ด๋ก๋๊ฐ ๋ค์ด๋ก๋๋์์ต๋๋ค.
- ๊ณผ Franchy์์ฝ๋ ํ์ด๋ก๋๊ฐ ํ๋ก์ธ์ค์ ์ฃผ์ ๋ฉ๋๋ค. [inj-๊ต์ฒด].
๋๋ฉ์ธ ๋ถ์ ์ค 404ํ๋ก์ ํธ[.]xyz VirusTotal์์ ์ถ๊ฐ ์ฌ๋ก๊ฐ ํ์ธ๋์์ต๋๋ค. 404 ํค๋ก๊ฑฐ, ์ฌ๋ฌ ์ ํ์ ๋ก๋.
์ผ๋ฐ์ ์ผ๋ก ๋ ๊ฐ์ง ์ ํ์ผ๋ก ๋๋ฉ๋๋ค.
- ๋ค์ด๋ก๋๋ ๋ฆฌ์์ค์์ ์ํ๋ฉ๋๋ค. 404ํ๋ก์ ํธ[.]xyz.
๋ฐ์ดํฐ๋ Base64๋ก ์ธ์ฝ๋ฉ๋๊ณ AES๋ก ์ํธํ๋ฉ๋๋ค. - ์ด ์ต์ ์ ์ฌ๋ฌ ๋จ๊ณ๋ก ๊ตฌ์ฑ๋๋ฉฐ ๋ถํธ๋ก๋์ ํจ๊ป ์ฌ์ฉ๋๋ ๊ฒฝ์ฐ๊ฐ ๊ฐ์ฅ ๋ง์ต๋๋ค. AtProtect.
- ์ฒซ ๋ฒ์งธ ๋จ๊ณ์์๋ ๋ฐ์ดํฐ๊ฐ ๋ค์์์ ๋ก๋๋ฉ๋๋ค. pastebin ํจ์๋ฅผ ์ฌ์ฉํ์ฌ ๋์ฝ๋ฉ HexToByte.
- ๋ ๋ฒ์งธ ๋จ๊ณ์์ ๋ก๋ฉ ์์ค๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค. 404ํ๋ก์ ํธ[.]xyz. ๊ทธ๋ฌ๋ ์์ถ ํด์ ๋ฐ ๋์ฝ๋ฉ ๊ธฐ๋ฅ์ DataStealer์ ๊ธฐ๋ฅ๊ณผ ์ ์ฌํฉ๋๋ค. ์๋ง๋ ์๋๋ ๋ฉ์ธ ๋ชจ๋์ ๋ถํธ๋ก๋ ๊ธฐ๋ฅ์ ๊ตฌํํ๋ ค๊ณ ๊ณํ๋์์ ๊ฒ์ ๋๋ค.
- ์ด ๋จ๊ณ์์ ํ์ด๋ก๋๋ ์ด๋ฏธ ์์ถ๋ ํ์์ผ๋ก ๋ฆฌ์์ค ๋งค๋ํ์คํธ์ ์์ต๋๋ค. ์ ์ฌํ ์ถ์ถ ๊ธฐ๋ฅ์ด ๋ฉ์ธ ๋ชจ๋์์๋ ๋ฐ๊ฒฌ๋์์ต๋๋ค.
๋ถ์๋ ํ์ผ ์ค์์ ๋ค์ด๋ก๋๊ฐ ๋ฐ๊ฒฌ๋์์ต๋๋ค nj์ฅ, ์คํ์ด๊ฒ์ดํธ ๋ฐ ๊ธฐํ RAT.
ํค๋ก๊ฑฐ
๋ก๊ทธ ์ ์ก ๊ธฐ๊ฐ: 30๋ถ.
๋ชจ๋ ๋ฌธ์๊ฐ ์ง์๋ฉ๋๋ค. ํน์ ๋ฌธ์๋ ์ด์ค์ผ์ดํ๋ฉ๋๋ค. BackSpace ๋ฐ Delete ํค์ ๋ํ ์ฒ๋ฆฌ๊ฐ ์์ต๋๋ค. ๋์๋ฌธ์๋ฅผ ๊ตฌ๋ถํฉ๋๋ค.
ํด๋ฆฝ๋ณด๋๋ก๊ฑฐ
๋ก๊ทธ ์ ์ก ๊ธฐ๊ฐ: 30๋ถ.
๋ฒํผ ํด๋ง ๊ธฐ๊ฐ: 0,1์ด.
๋งํฌ ์ด์ค์ผ์ดํ๋ฅผ ๊ตฌํํ์ต๋๋ค.
์คํฌ๋ฆฐ๋ก๊ฑฐ
๋ก๊ทธ ์ ์ก ๊ธฐ๊ฐ: 60๋ถ.
์คํฌ๋ฆฐ์ท์ ๋ค์์ ์ ์ฅ๋ฉ๋๋ค. %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
ํด๋๋ฅผ ๋ณด๋ธ ํ 404k ์ญ์ ๋ฉ๋๋ค.
๋น๋ฐ๋ฒํธ ๋๋
ะัะฐัะทะตัั | ๋ฉ์ผ ํด๋ผ์ด์ธํธ | FTP ํด๋ผ์ด์ธํธ |
---|---|---|
ํฌ๋กฌ | Outlook | FileZilla์ |
ํ์ด์ด ํญ์ค | ์ฒ๋ฅ์ | |
์ด์ ๋ก | Foxmail | |
Icedragon | ||
ํ์ผ๋ฌธ | ||
์ฌ์ด๋ฒ ํญ์ค | ||
ํฌ๋กฌ | ||
๋ธ๋ ์ด๋ธ ๋ธ๋ผ์ฐ์ | ||
QQ๋ธ๋ผ์ฐ์ | ||
์ด๋ฆฌ๋๋ธ๋ผ์ฐ์ | ||
Xvast๋ธ๋ผ์ฐ์ | ||
์ฒด๋ | ||
360๋ธ๋ผ์ฐ์ | ||
์ฝ๋ชจ๋๋๋๊ณค | ||
360ํฌ๋กฌ | ||
์ํผ๋ฒ๋ | ||
์ผํธ๋ธ๋ผ์ฐ์ | ||
๊ณ ์คํธ๋ธ๋ผ์ฐ์ | ||
์์ด์ธ๋ธ๋ผ์ฐ์ | ||
Chromium | ||
๋น๋ฐ๋ | ||
Slimjet๋ธ๋ผ์ฐ์ | ||
๊ถค๋ | ||
์ฝ์ฝ | ||
ํ ์น | ||
UC๋ธ๋ผ์ฐ์ | ||
์ํฝ๋ธ๋ผ์ฐ์ | ||
Blisk๋ธ๋ผ์ฐ์ | ||
Opera |
๋์ ํด์์ ๋ํ ๋์
- ํ๋ก์ธ์ค๊ฐ ๋ถ์ ์ค์ธ์ง ํ์ธ
ํ๋ก์ธ์ค ๊ฒ์์ ์ฌ์ฉํ์ฌ ์ํ๋จ taskmgr์, ํ๋ก์ธ์คํด์ปค, procexp64, ์ ์ฐจ, ํ๋ก ๋ชฌ. ํ๋๋ผ๋ ๋ฐ๊ฒฌ๋๋ฉด ์ ์ฑ์ฝ๋๊ฐ ์ข ๋ฃ๋ฉ๋๋ค.
- ๊ฐ์ ํ๊ฒฝ์ ์๋์ง ํ์ธํ๊ธฐ
ํ๋ก์ธ์ค ๊ฒ์์ ์ฌ์ฉํ์ฌ ์ํ๋จ vmtoolsd, VGAuth์๋น์ค, vmacthlp, VBox์๋น์ค, VBoxํธ๋ ์ด. ํ๋๋ผ๋ ๋ฐ๊ฒฌ๋๋ฉด ์ ์ฑ์ฝ๋๊ฐ ์ข ๋ฃ๋ฉ๋๋ค.
- 5์ด ๋์ ์ ๋ค๊ธฐ
- ๋ค์ํ ์ ํ์ ๋ํ ์์ ๋ฐ๋ชจ
์ผ๋ถ ์๋๋ฐ์ค๋ฅผ ์ฐํํ๋ ๋ฐ ์ฌ์ฉํ ์ ์์ต๋๋ค.
- UAC ์ฐํ
๋ ์ง์คํธ๋ฆฌ ํค๋ฅผ ํธ์งํ์ฌ ์ํ๋จ EnableLUA ๊ทธ๋ฃน ์ ์ฑ ์ค์ ์์.
- ํ์ฌ ํ์ผ์ "์จ๊น" ํน์ฑ์ ์ ์ฉํฉ๋๋ค.
- ํ์ฌ ํ์ผ์ ์ญ์ ํ๋ ๊ธฐ๋ฅ.
๋นํ์ฑ ๊ธฐ๋ฅ
๋ถํธ๋ก๋์ ๋ฉ์ธ ๋ชจ๋์ ๋ถ์ํ๋ ๋์ ์ถ๊ฐ ๊ธฐ๋ฅ์ ๋ด๋นํ๋ ๊ธฐ๋ฅ์ด ๋ฐ๊ฒฌ๋์์ง๋ง ์ด๋์๋ ์ฌ์ฉ๋์ง ์์ต๋๋ค. ์ด๋ ์๋ง๋ ์ ์ฑ์ฝ๋๊ฐ ์์ง ๊ฐ๋ฐ ์ค์ด๊ณ ๊ธฐ๋ฅ์ด ๊ณง ํ์ฅ๋ ๊ฒ์ด๊ธฐ ๋๋ฌธ์ผ ๊ฒ์ ๋๋ค.
๋ก๋ AtProtect
ํ๋ก์ธ์ค ๋ก๋ ๋ฐ ์ฃผ์ ์ ๋ด๋นํ๋ ํจ์๊ฐ ๋ฐ๊ฒฌ๋์์ต๋๋ค. msiexec.exe๋ฅผ ์์์ ๋ชจ๋.
๋ฐ์ดํฐ์คํธ๋ฌ
- ์์คํ ํตํฉ
- ์์ถํด์ ๋ฐ ๋ณตํธํ ๊ธฐ๋ฅ
๋คํธ์ํฌ ํต์ ์ค ๋ฐ์ดํฐ ์ํธํ๊ฐ ๊ณง ๊ตฌํ๋ ๊ฐ๋ฅ์ฑ์ด ๋์ต๋๋ค. - ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ํ๋ก์ธ์ค ์ข ๋ฃ
zlclient | Dvp95_0 | ํ๋ธ์ ฐ๋ | avgserv9 |
์๊ตฌ์ด | ์์ฝ์์ง | ํ๋ธ | avgserv9schedapp |
bdagent | ์์ ํ | PC์์ค๋ชฌ | ํ๊ท |
npfmsg | ์์ค์์น | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ์ ์ฌ๋์คํ |
์๋๋น์ค | ํ๋๋น๋ฅด | Pcfwallicon | ์์ฌ๋ง์ด์ค๋ธ |
์์ด์ด ์คํฌ | Fprot | Persfw | ์ ์ฌ์๋ธ |
์๋ฐ์คํฌ์ด | F-๋ณดํธ ํด์ฃผ๋ | ํ3ํธ๋ฉ | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | Symwsc |
๋๋ชฌ | Fp-์น๋ฆฌ | Rav7 | ๋ ธํด |
๋ฐค | ์์ผ๋ก | Rav7win | ๋ ธํด ์๋ ๋ณดํธ |
ํค์คํฌ๋จ๋ธ๋ฌ | F-์ ์ง | ๊ตฌ์ถ | norton_av |
_Avpcc | ์์ด์ฑ | ์ธ์ดํ์น | ๋ ธ๋ฅดํ ๋๋ธ |
_ํ๊ท | ์์ด์ ์๋ธ | ์ค์บ32 | ccsetmgr |
Ackwin32 | ์ ๋ง์ค | ์ค์บ95 | ccevtmgr |
์ ์ด | Ibmavsp | ์ค์บํผ์ | avadmin |
์ํฐ ํธ๋ก์ด ๋ชฉ๋ง | ์์ด๋ก๋95 | ์คํฌ์ค์บ | avcenter |
์ํฐ ๋ฐ์ด๋ฌ์ค | ์์ด๋ก๋๋ฐํธ | ์๋ธ95 | ํ๊ท |
Apvxdwin | ์์ด๋ชฌ | SMC | ํ๊ท |
ํธ๋ | Icsupp95 | SMC์๋น์ค | avnotify |
์๋๋ค์ด | Icsuppnt | ํก์ | avscan |
Avconsol | ์์ดํ์ด์ค | ์คํํฌ์ค | ๊ฐ๋ ๊ตฌ์ด |
์32 | ์ด์ค๋ชฌ98 | ์ค์ํ95 | nod32krn |
ํ๊ท Ctrl | ์ ๋ค์ด | SYMPROXYSVC | nod32kui |
Avkserv | ์ ๊ธ2000 | Tbscan | ์กฐ๊ฐ๋น |
Avnt | ์๋ฌด | TCA | ์กฐ๊ฐ ํธ๋ ์ด |
์ฑ | ๋ฃจ์ | Tds2-98 | ์กฐ๊ฐ์น๋ฆฌ |
Avp32 | ๋งฅ์นดํ | Tds2-Nt | ์ํฌ๋ฆผ |
Avpcc | ๋ฌผ๋ผ์ด๋ธ | TermiNET | ์ฌ๋ผ๋ |
Avpdos32 | MPํธ๋ ์ด | ์์์ฌ95 | ์๊ทธํด |
ํ๊ท ์๊ฐ | N32์ค์บ | ๋ฒ ํธ๋ ์ด | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | ๋ซ๊ธฐ |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | ๋๋ธํธ | Vsstat | ๋งฅ์ค๋ |
Avwin95 | NAVRUNR | ์น์ค์บx | vshwin32 |
Avwupd32 | Navw32 | ์นํธ๋ฉ | avconsol |
๋ธ๋๋ | Navwnt | Wfindv32 | vsstat |
๋ธ๋์์ด์ค | ๋ค์ค์์น | ZoneAlarm์ | avsyngr |
Cfiadmin | ๋์ธ๋ฅดํ | ์ ๊ธ2000 | avcmd |
Cfiaudit | ๋์จ | ๊ตฌ์กฐ32 | avconfig |
Cfinet | ์๋ฉ์ธ | ๋ฃจ์ปด์๋ฒ | licmgr |
Cfinet32 | ๊ท๋ฒ์ฃผ์์ | avgcc | ์์ : |
Claw95 | NORTON | avgcc | ๋ฏธ๋ฆฌ ์ค๋นํ๋ค |
Claw95cf | ๋๊ทธ๋ ์ด๋ | avgamsvr | MsMpEng |
์ฒญ์๊ธฐ | Nvc95 | avgupsvc | MSASCui |
ํด๋ฆฌ๋3 | ์ ์ด | ํ๊ท | Avira.Systray |
๋ฐํ์์น | ํ๋๋ฏผ | ํ๊ท cc32 | |
Dvp95 | Pavcl | ํ๊ท ์๋น์ค |
- ์๊ธฐ ํ๊ดด
- ์ง์ ๋ ๋ฆฌ์์ค ๋งค๋ํ์คํธ์์ ๋ฐ์ดํฐ ๋ก๋
- ๊ฒฝ๋ก๋ฅผ ๋ฐ๋ผ ํ์ผ ๋ณต์ฌ %Temp%tmpG[๋ฐ๋ฆฌ์ด ๋จ์์ ํ์ฌ ๋ ์ง ๋ฐ ์๊ฐ].tmp
ํฅ๋ฏธ๋กญ๊ฒ๋ AgentTesla ์ ์ฑ์ฝ๋์๋ ๋์ผํ ๊ธฐ๋ฅ์ด ์กด์ฌํฉ๋๋ค. - ์ ๊ธฐ๋ฅ
์ ์ฑ์ฝ๋๋ ์ด๋์ ๋ฏธ๋์ด ๋ชฉ๋ก์ ์์ ํฉ๋๋ค. ์ ์ฑ์ฝ๋์ ๋ณต์ฌ๋ณธ์ ๋ฏธ๋์ด ํ์ผ ์์คํ ์ ๋ฃจํธ์ ๋ค์๊ณผ ๊ฐ์ ์ด๋ฆ์ผ๋ก ์์ฑ๋ฉ๋๋ค. Sys.exe. ์๋ ์คํ์ ํ์ผ์ ์ฌ์ฉํ์ฌ ๊ตฌํ๋ฉ๋๋ค. ์ด Autorun.inf.
๊ณต๊ฒฉ์ ํ๋กํ
๋ช ๋ น ์ผํฐ๋ฅผ ๋ถ์ํ๋ ๋์ ๊ฐ๋ฐ์์ ์ด๋ฉ์ผ๊ณผ ๋ณ๋ช ์ธ Razer, ์ผ๋ช Brwa, Brwa65, HiDDen PerSOn, 404 Coder๋ฅผ ์ค์ ํ ์ ์์์ต๋๋ค. ๋ค์์ผ๋ก YouTube์์ ๊ฑด์ถ์ ์์ ํจ๊ป ์์ ํ๋ ๋ชจ์ต์ ๋ณด์ฌ์ฃผ๋ ํฅ๋ฏธ๋ก์ด ๋์์์ ์ฐพ์์ต๋๋ค.
์ด๋ฅผ ํตํด ์๋ ๊ฐ๋ฐ์ ์ฑ๋์ ์ฐพ์ ์ ์๊ฒ ๋์์ต๋๋ค.
๊ทธ๊ฐ ์ํธ ์์ฑ์๋ฅผ ์์ฑํ ๊ฒฝํ์ด ์๋ค๋ ๊ฒ์ด ๋ถ๋ช
ํด์ก์ต๋๋ค. ์ ์์ ์ค์ ์ด๋ฆ๋ฟ๋ง ์๋๋ผ ์์
๋คํธ์ํฌ ํ์ด์ง์ ๋ํ ๋งํฌ๋ ์์ต๋๋ค. ๊ทธ๋ ์ด๋ผํฌ ๊ฑฐ์ฃผ์๋ก ๋ฐํ์ก์ต๋๋ค.
์ด๊ฒ์ด 404 Keylogger ๊ฐ๋ฐ์์ ๋ชจ์ต์ ๋๋ค. ๊ฐ์ธ ํ์ด์ค๋ถ ํ๋กํ ์ฌ์ง.
CERT Group-IB๋ ๋ฐ๋ ์ธ์ ์ฌ์ด๋ฒ ์ํ(SOC)์ ๋ํ 404์๊ฐ ๋ชจ๋ํฐ๋ง ๋ฐ ๋์ ์ผํฐ์ธ XNUMX Keylogger๋ผ๋ ์๋ก์ด ์ํ์ ๋ฐํํ์ต๋๋ค.
์ถ์ฒ : habr.com