Newsletter2015.12.30 11:01

Windows 레지스트리에 악성코드를 숨겨 백신 탐지를 우회하고 추가적인 악성코드를 다운로드 및 시스템 정보를 탈취하는 악성코드가 발견됐다.

 

이번에 발견된 악성코드는 윈도우의 정상 기능인 Windows PowerShell을 이용해 스크립트를 작성했기 때문에 탐지에 어려움이 있었고, C&C 서버와의 통신을 숨기기 위해 변조된 네트워크 트래픽을 발생시키며, Tor 네트워크를 이용하는 것으로 분석됐다.

 

Windows PowerShell을 이용해 스크립트를 작성하고 ZwSetValueKey API를 사용해 자동시작 항목에 레지스트리 값을 생성한다. 등록된 레지스트리의 Data값은 인코딩돼 있는 파일이다.

 

레지스트리의 Data값에 복호 과정을 거치면 MZ파일이 생성되는데, 해당 파일은 DLL 파일로 정상 DLLHOST.EXE 프로세스에 인젝션된다. 인젝션된 DLL은 다른 악성코드를 추가적으로 다운로드하고 보안시스템을 무력화한 후 시스템 정보를 탈취한다. 탈취하는 정보는 아래와 같다.

 

- Operating system and architecture

- UUID

- Malware version

- Build date

 

탈취한 정보는 아래와 같은 형식으로 공격자에게 전송됨으로써 공격자가 시스템 정보를 획득한다.

 

- http://178.89.159.34/q/type={status: start, install, exist, cmd or low}&version=1.0&aid={id}&builddate=%s&id={iuuid}&os={OS version}_{OS architecture}

 

이와 관련한 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 웹사이트 또는 아래의 출처를 참고하면 된다.

 

 

출처: http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-malware-hides-in-windows-registry/

Posted by 엠플 (주)엠플