소콜라스 사이트에서 파밍 유포지로 사용중

  오랜만에 TLS callback 사용하는 파밍 악성코드를 만났다. css.exe이라는 이름을 가진 파밍형 악성코드이다. TLS callback 함수에 대해서 예전에 어떤분의 부탁으로 인하여 글을 쓰게 되었는데, 그걸 참고하고 따라 하시길 바란다.

[ TLS callback 우회 방법 및 분석 : http://nopsled.tistory.com/122 ]

FileName	css.exe
MD5	C1D2C110AB24B178FA63112A389D0379
SHA-1	7193A91AAAB63CC2EB1A5EB9B30CB611A1F6F284
Packer	Unknown packer (Seems to VMProtect)

[표1] 악성코드 정보

0012F794    004358AC    /CALL to IsDebuggerPresent

  IsDebuggerPresent를 이용하여 디버깅하고 있는지 탐지한다. 추 후에도, 서브루틴을 이용하여 패킹 된 부분에서 디버거를 탐지한다. 탐지되면 MessageBox를 이용하여 디버거를 제거하고 실행하라고 alert을 띄운다.

  CreateProcessA를 이용하여 C:\Windows\System32\attrib.exe를 SUSPENDED 상태로 실행시킨다.

코드 인젝션을 통해 해당 프로세스의 메모리에 데이터를 써 넣는다.

GET /fcg-bin/cgi_get_portrait.fcg?uins=3045405460?=30197 HTTP/1.1 Accept: */* Accept-Language: ko Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 1.0.3705; .NET4.0C) Host: users.qzone.qq.com Connection: Keep-Alive HTTP/1.1 200 OK Server: QZHTTP-2.37.1 Content-Encoding: gzip Cache-Control: max-age=86400 Content-Type: text/html Content-Length: 121 Date: Mon, 26 Oct 2015 03:38:19 GMT Connection: keep-alive Vary: Accept-Encoding ..........+./*)J.,qN..qJL...V2601510513P..V.()).../..O.7.+../J.+,.K.../...K.G(Gf...(........T220.34.3.4..0.J..j...k9/|...

  중국 블로그인 users.qzone.qq.com에 접속하여 IP를 파싱한다.(204.12.194.86)

  현재는 접속이 되고 있지 않으므로 금융 감독원 파밍이라던가.. 인증서 탈취의 위험은 "아직까진" 없어 보인다. 하지만, 만약 감염이 되었다면 빠른 조치로 백신을 이용한 치료가 시급히 필요하다.