| | at : |
Archive

[MALWARE] 악성 도메인 변조 분석(98.xxx.xxx.148:5896, 한층 개선된 chrome의 최신버전이 출시되었습니다/악성코드) 하훌 rwxr-xr-x 0 11/15/2015



[MALWARE] 악성 도메인 변조 분석(98.xxx.xxx.148:5896, 한층 개선된 chrome의 최신버전이 출시되었습니다/악성코드)

Permission rw-r--r--
Author 하훌
Date and Time 11/15/2015
Label
License 크리에이티브 커먼즈 라이선스


어제 모바일 기기로 모바일 서비스에 접근하는 중 강제로 특정 IP로 Redirection 되는 것을 확인하고, 급히 카페에서 대충 분석을 하였었습니다.

지하철 내 LTE망에서 넘어가는걸 보고 폰이 감염된 것으로 생각되었지만, 감염될만한 경로가 적었고 폰에 대해 뒤적뒤적 찾아봤지만 별다른 의심사항이 없어 좀 의아했던 일이였지요.

구글링이나, 네이버 검색으로 찾아보니 다수의 사람들이 동일한 증상으로 질문을 많이 올려주셨었고, 보안 관련 블로그,페이지,뉴스 등에서도 해당 내용에 대한 이야기를 다루었던 것으로 기억됩니다.



발생 원인(Causes of malware Infection) #왜 발생하였을까?

일단 가장 처음 의심되었던 것은 감염으로 인해 host 정보가 위조되었다고 생각하여 hosts 파일과 도메인에 대해 조회를 하였지만, 정상이였습니다.





대부분 공유기를 사용하는 무선랜 환경에서 발생되고, 저 또한 그렇게 알고 있었으나 LTE에서 확인되어서 좀 의아했습니다.  물론 이부분에 대해선 따로 찾아낸게 없어, 그저 감염 WIFI에 접근 후 남아있던 캐시로 인해 LTE에서도 넘어갔다 라고 생각할 수 밖에 없습니다. (사실 캐시를 한번 비웠었는데 말이죠 =_= )

주요 행위(Activities) #증상은 어떠한가?

특정 서비스 접근 시 98.xxx.xxx.148 IP로 넘어가며, 해당 서비스 페이지에서 count9.51***.com (직접 주소쓰기가 좀 그러네요;) 로 http 요청이 나가면서 98.xxx.xxx.148 내 다른 페이지로 넘어가기 됩니다.




다른 페이지에는 대부분 사람들이 발생한다고 질문하는 "한층 개선된 chrome의 최신버전이 출시되었습니다" 메시지가 발생합니다.




이후 추가적인 액션은 없었으나, 페이지의 구성 형태를 봐선 뒷단에 Exploit kit 가 있고 취약 디바이스 or 브라우저일 경우 Exploit Code 를 이용하여 추가적인 프로그램/App 설치를 유도할 것으로 생각됩니다.


대부분의 Exploit kit는 접근한 타겟에 대해 분석하고 취약 디바이스나 브라우저라면 Exploit Code 가 포함된 페이지를 Redirection 하고, 아니라면 의미없는 페이지로 넘어가기 하는 Case 가 대부분입니다. 위 현상 또한 이미지에 있는 페이지로 이동 후 별다른 Code 없이 바로 중국 포털서비스로 넘겨줍니다.

Metasploit 에서도 Autopwn 등의 기능을 사용하고 확인하면, 임의의 랜덤한 페이지로 사용자를 이동시키는 것을 볼 수 있습니다. 그런면을 보아 Exploit kit가 포함되어 있을 것이다. 라는 생각이 드네요.

쭉 확인해보니, APK를 다운로드 하는 URL도 포함되어 있었습니다. 

hxxp://98.xxx.xxx.53:8014/15779QYCJ/15~~~~~.apk

위 URL 로 요청하며, 분석당시/현재 해당 파일이 다운로드 되지 않아 APK분석은 할 수 없었네요..

대응방안

별다른거 없습니다. 일단 대부분 사이트에서 권고하듯이, 공유기에 대해 보안설정은 필수이고 아무 WIFI를 잡아 사용하는것은 안좋습니다. 또한 안드로이드던, PC이던 업데이트를 자주하여 취약점 App에 대해 패치받을 수 있도록 합니다.

Share







HAHWUL
HACKING | PENETRATION-TEST | CODING
HACKERONE : GIT : 0DAY-TODAY : EXPLOIT-DB : PACKETSTORM
GOOGLE+ | HAHWUL@GMAIL.COM | TWITTER
WWW.HAHWUL.COM




0 개의 댓글:

댓글 쓰기