Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보KONNI 북한 미사일 관련 문서로 위장한 악성코드
작성일 2017-08-03 조회 1984

 

[출처:http://blog.talosintelligence.com/2017/05/konni-malware-under-radar-for-years.html]

 

 

Konni (Win32/Trojan.Teamspy.34816) 악성코드는 키로깅,스크린샷 및 임의 코드를 실행한다.
공격자는 SNS 및 이메일을 통해 악의적인 scr 파일 및 office 문서 파일을 유포한다.

 

 

Sniper 제품군은 다음과 같이 대응하고 있다.

 

Sniper-IPS

[3615] Win32/Trojan.Teamspy.34816

[3616] Win32/Trojan.Teamspy.34816.A

Sniper-UTM

[838861213] Win32/Trojan.Teamspy.34816

Sniper-APTX

[2801] Win32/Trojan.Teamspy.34816

[2803] Win32/Trojan.Teamspy.34816.A

 

취약시스템
Windows All Versions

 

위험도
CVSS Score:6.5
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

 

공격영향
사용자정보탈취
임의코드실행

 

공격설명

유포 내용에는 유니세프, 북한과 관련된 기관,대사관 이메일 주소, 연락처 정보가 포함되어 있다.
유포 문서 제목은 다음과 같다.

 

Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr
Inter Agency List and Phonebook - April 2017 RC_Office_Coordination_Associate.scr

 

악성 scr,office 파일을 실행하면 C&C로부터 명령을 전송받고, 추가 악성코드를 다운로드 받는다.
사용자 정보 및 시스템 정보, 스크린 샷 정보 등을 C&C로 전송한다.

공격자에게 전송하는 정보는 다음과 같다.

- 호스트 이름
- IP 주소
- 컴퓨터 이름
- 사용자 이름
- 연결된 드라이브
- OS 버전
- Architecture 정보
- 시작프로그램 정보
- 설치프로그램 정보

 

 

캠패인 정보는 다음과 같다.

2017 Campaign A

Dropper (b9ba36607ea379da4b6620c4e3fce2ca)
SHA256: 69a9d7aa0cb964c091ca128735b6e60fa7ce028a2ba41d99023dd57c06600fe0
 Filename: Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr

Dropped#2 (b5d9d194e1bea5889096460172673081)
 SHA256: 39bc918f0080603ac80fe1ec2edfd3099a88dc04322106735bc08188838b2635
 Filename: winload.exe

CC
Pactchfilepacks[.]net23[.]net
checkmail[.]phpnet[.]us


2017 Campaign B

Dropper (e7ec20d1cabff7c58fb5d69948536afb)
SHA256: 640477943ad77fb2a74752f4650707ea616c3c022359d7b2e264a63495abe45e
 Filename: Inter Agency List and Phonebook - April 2017 RC_Office_Coordination_Associate.scr

Dropped#3 (ff9694b38ea69c6261ed89be5ca7f1a0)
 SHA256: dd730cc8fcbb979eb366915397b8535ce3b6cfdb01be2235797d9783661fc84d
 Filename: winload.dll

CC
Pactchfilepacks[.]net23[.]net
checkmail[.]phpnet[.]us

 

해결방안
1. 최신 백신으로 치료한다.
2. 수동 치료시, 아래와 같은 부분을 점검한다.
  1) 시작 프로그램에 알려지지 않은 시작 프로그램이 등록되어 있는지 확인 후 삭제
  2) 인터넷 예약된 작업에 불필요한 예약된 작업이 존재하는지 확인 후, 삭제
  3) %TMP% 하위에 확인되지 않은 실행 파일(exe, bat)이 존재하는지 확인 후, 삭제

첨부파일 첨부파일이 없습니다.
태그   KONNI  Teamspy