Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보EarlyBird Code Injection기술을 사용하는 악성코드
작성일 2018-04-20 조회 810

 

개요

미국, 사우디 아라비아, 한국 등의 항공,우주,화학 관련 산업 기관을 노리는 APT33 그룹의 새로운 악성코드가 발견되었습니다. TurnedUp으로 명명된 해당 악성코드는 백신 탐지 우회를 위한 EarlyBird Code Injection 기술을 사용하는데 발견 당시 다수의 백신프로그램에서 탐지를 하지 못했습니다.

 

확인내역

EarlyBird Code Injection 기술은 주입 된 코드가 프로세스의 주 스레드의 진입 점보다 먼저 실행되므로 맬웨어 방지 제품의 후크에 의한 탐지를 피할 수 있습니다.

 

코드 인젝션의 플로우는 아래와 같습니다.(그림 1 참조)


1.일시 중지 된 프로세스 만들기(합법적 인 Windows 프로세스 일 가능성이 높음)
2.해당 프로세스에 악성 코드를 할당하고 작성
3.해당 프로세스에 대한 비동기 프로 시저 호출 (APC) 대기
4.APC를 실행하기 위해 프로세스의 메인 스레드를 재개


 

<그림 1 - EarlyBird 코드인젝션 프로세스>

 

대응방안

 

당사 Sniper 장비에서는 아래와 같은 패턴으로 대응이 가능하다.

[4223]Win32/Backdoor.TurnedUp.396973

 

참고

https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html
https://www.hybrid-analysis.com/sample/130aa7bd89aa4b68f1561d33bbd0068ad96abc0cd78c74cdc3eb89cf19076916?environmentId=100
https://research.checkpoint.com/dorkbot-an-investigation/
https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

 

첨부파일 첨부파일이 없습니다.
태그 EarlyBird  Backdoor  TurenedUp  우회