NOTICE




1. 소 개

  

 현재 특정 RAT를 사용해 만든 악성코드가 토렌트를 통해서 유포되고 있습니다.


 해당 게시물은 201705311639분에 올라왔으며 170527일자 무한도전 동영상으로 위장하고 있습니다.


[악성 토렌트 게시물]


[악성 토렌트 파일 다운로드]

 

 다운로드 된 파일은 언뜻 보기에 동영상 확장자(.mp4)를 취하고 있습니다. 그러나 확장자가 변조된 상태일 뿐 일반 실행파일입니다.

 

[동영상으로 위장한 악성코드]




2. 악성코드 동작 확인


 무한도전.E531.170527.720p-NEXTexE.mp4”를 실행하면 “%ProgramFiles%\MUHAN” 경로에 ‘MUHAN.exe’라는 이름으로 복제 파일을 생성하고 하위 프로세스로 동작시킵니다.

 

  [악성코드 동작 확인]


 ‘MUHAN.exe’C&C 서버와 통신을 시도하고 명령대기 상태로 들어갑니다. C&C 서버에서 전달하는 명령에 따라 다양한 위험이 발생할 수 있습니다.

 

[악성코드 명령 대기] 




3. 악성코드 감염으로 인한 위험


 해당 악성코드에 감염될 경우, 감염 PC에서 이루어지는 모든 행위를 감시 당할 수 있을 뿐만 아니라 공격자에 의해 제어될 수 있습니다. 공격자가 사용한 도구를 가지고 어떤 위험이 발생할 수 있는지 몇 가지 살펴보면 다음과 같습니다.


 특정 PC에 악성코드가 감염되면 공격자 PC에서 확인이 가능합니다.

 

[공격자가 사용하는 RAT 프로그램]

 

 그리고 공격자의 의도에 따라 감염 PC 정보를 확인할 수 있고 파일 접근 및 제어, 키로깅, 원격 감시, 웹캠 해킹 등의 악성 행위가 일어날 수 있습니다.


[감염 PC Control]


[감염 PC 파일 접근 및 제어]


[감염 PC 실시간 키로깅]


[감염 PC 실시간 모니터링]

 

 

 

4. AV 제품 탐지 확인


 현재 국내 AV 제품 탐지 내역입니다.

 

[V3 Lite_ver 2017.06.01.00]


 [ALYac_ver 2017.06.01]

 

 위에서 보는 것과 같이 AV 제품에서는 현재 해당 악성코드를 탐지하지 않습니다. 사용자 입장에서 방어를 위한 최선의 선택은 악성코드 유포의 주요 수단으로 활용되는 토렌트 사용을 자제하는 것입니다.

 

 이상으로 '[2017.05.31] 무한도전 영상으로 위장한 악성 토렌트 유포 중'에 대한 포스팅을 마치겠습니다.



  1. no picture 2017.07.17 23:04

    비밀댓글입니다

    • no picture BlogIcon itseeyou 2017.07.18 14:36 신고

      TCPview라는 네트워크 모니터링 Tool입니다.
      sysinternals에서 다운로드 받을 수 있습니다.

      https://live.sysinternals.com/