주요 기관, 금융권에 뿌려진 해킹 메일
■ 스피어피싱 메일
- 타켓 : 한국은행
■ 첨부파일
Chart of Accounts_E3AFB4.zip
■ 접속 사이트
- http://myinpower.com/bghf4hhs 접속 후 Locky 랜섬웨어 다운로드
다운로드 된 Locky 랜섬웨어 접속 사이트
- 5.34.183.40 [Country: Ukraine (UA) City: Kharkiv]
- 185.82.202.170 [Country: Netherlands (NL) City: Amsterdam]
| 랜섬웨어 - CryptXXX (0) | 2016.04.29 |
|---|---|
| (한글 악성 문서) 현안보고서.hwp (0) | 2016.04.21 |
| [스피어피싱] 한국인터넷진흥원 사칭한 악성메일 유포 (0) | 2016.04.20 |
| 한국 공군의 위상에 대한 평가와 진단 (0) | 2016.04.18 |
| 파밍 악성코드의 진화(꿀뷰 설치본 변조) (0) | 2016.03.28 |
랜섬웨어 - CryptXXX
■ CryptXXX 랜섬웨어 감염 시 화면
■ 특징
- 감염 PC 사용자 정보 탈취
- 시스템 내의 특정파일을 .crypt 확장자로 변경하고 암호화
- dll 파일로 특정 프로세서에 인젝션 되어 동작
■ 감염 동작
1. 감염 시스템 ID 생성
C:\Documents and Settings\All Users\Application Data\9A517148015D.dat
(감염 시스템 식별자).dat // 감염 시스템 마다 다름
9A517148015D.dat 의 내용 // 3 byte
2. Dll 로드
CryptXXX 랜섬웨어가 dll 형태로 배포되어 특정 프로세서(.exe)를 통해서 로더가 된다. Rundll32.exe 파일을 복사하여 자신을 인젝션 시키고 동작한다. 최근에는 svchost.exe(=Rundll32.exe) 를 dll 이 있는 위치에 복사하고 로드하여 동작한다.
| 국가 기관 및 금융권에 뿌려진 해킹 메일 (0) | 2016.05.13 |
|---|---|
| (한글 악성 문서) 현안보고서.hwp (0) | 2016.04.21 |
| [스피어피싱] 한국인터넷진흥원 사칭한 악성메일 유포 (0) | 2016.04.20 |
| 한국 공군의 위상에 대한 평가와 진단 (0) | 2016.04.18 |
| 파밍 악성코드의 진화(꿀뷰 설치본 변조) (0) | 2016.03.28 |
현안보고서. hwp
■ 감염증상
- 키로거 악성코드 생성
■ 감염형태
- 한글 악성문서 내에 악성코드를 삽입하여 Drop 하는 형태
■ 생성파일
C:\Documents and Settings\Administrator\Application Data\hwp.exe
C:\WINDOWS\Help\access.CHI // dll, 키로거
C:\WINDOWS\Help\accessib.CHI
C:\WINDOWS\Help\acc_dis.CHI
■ 네트워크 접속
http://www.koreanews.cc/images/cc.jpg
| 국가 기관 및 금융권에 뿌려진 해킹 메일 (0) | 2016.05.13 |
|---|---|
| 랜섬웨어 - CryptXXX (0) | 2016.04.29 |
| [스피어피싱] 한국인터넷진흥원 사칭한 악성메일 유포 (0) | 2016.04.20 |
| 한국 공군의 위상에 대한 평가와 진단 (0) | 2016.04.18 |
| 파밍 악성코드의 진화(꿀뷰 설치본 변조) (0) | 2016.03.28 |
 by Noise0 |
||
|
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
