Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보SunOrcal(SunDown) 스테가노그라피 기법을 활용한 악성코드 유포
작성일 2017-12-01 조회 1369

 

 

 

최근 SunOrcal (Sundown)의 새로운 변종이 등장했습니다. 최근 발견된 샘플은 스테가노 그래피 기술을 사용하여 악성코드를 실행합니다. 악성코드 관련 DLL이 그림파일로 위장하여 저장될 수 있으니 주의가 필요합니다.

 

[그림] 스테가노 그라피 기법 (Paloalto)

 

 

 

또한,  악성코드 내부에는 3단계로 문자열을 인코딩하여 난독화를 진행하였고 악성코드 실행 시 내부적으로 디코딩 후 악성 C2에 접속하게 됩니다. 다양한 방식의 난독화는 차단 패턴 회피 및 분석 시간 지연으로 야기될 수 있습니다.

 

[그림] 3단계 인코딩 (Paloalto)

 

[Payload] SunDown (SunOrcal)

행위: Trojan
Sha256

 - e1d9cc6b5effa6a579801fb0d2fbfb700a50c916283dad205a7c88128376f098
 - d5e5abae142139484089974cbcaae5ac76d88f25a42fb961d8018a3c63a2601c
 - 67ef25b0708e6c268d2cbd78d03141acfc9cf895b8422da69beb2ca598f2fcc7
 - a13647468498dd7c95de7d168c926cf53eb01fbc262bf372790b47b704c44a04

C2
 - www.weryhstui[.]com
 - www.eyesfeel256[.]com
 - www.olinaodi[.]com
 - www.fyoutside[.]com
 - www.flyoutside[.]com
 - www.outsidefly[.]com
 - www.eyestouch256[.]com
 - www..tashdqdxp[.]com
 - 104.148.70[.]217
 - 98.126.156[.]210
 - 119.42.148[.]246

 

 

대응방안은 아래와 같습니다.

 

1. 최신 백신으로 치료한다

2. 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

3. 당사 IPS장비에서는 아래 패턴으로 대응이 가능하다

 

[3887] Win32/Trojan.Sundown.77824
[3888] Win32/Trojan.Sundown.69632
[3889] Win32/Trojan.Sundown.65536

 

 

Source

[Title 그림] http://www.bpcconsultingalliance.com/wp-content/uploads/2016/11/What-is-Malware.jpg

https://researchcenter.paloaltonetworks.com/2017/11/unit42-sunorcal-adds-github-steganography-repertoire-expands-vietnam-myanmar/

 

첨부파일 첨부파일이 없습니다.
태그 SunOrcal  SunDown  스테가노그라피