1

악성링크분석(무료 구독자)

No. SEIS-14-01-01

작 성 일 2014년 1월 16일 작 성 자 Bitscan

▣ 상황 요약

2014년 1월 11일(금)부터 13일(월)까지 코리아닷컴(KOREA.COM) 포탈의 뉴스 게시판 등에서 악성링크가 삽입

되어 웹사이트 방문자들에게 악성코드가 자동으로 감염되게 하는 드라이브바이다운로드(DBD,

Drive-by-download) 공격이 발생하였다.

빛스캔에서 매주 수요일 발간하는 고급보안정보구독서비스와 익일 발간하는 주간 브리핑 요약에 서술하였으며,

국내 타 보안 연구단체에서 발표한 분석 보고서의 내용을 비교 분석한 결과 일부 항목에 누락된 사항이 있어

당사가 보유한 해당 관련 사항 일체를 추가로 공개한다.

▪ 공격의 시작은 악성링크(exflow.net/ken/index.html)가 국내 모 웹사이트의 웹소스에 업로드되는 순간부터 시

작되었으며 당사가 탐지한 시각은 1월 11일(토) 20시 경이다.

▪ 1월 12일, 코리아닷컴 뉴스 페이지(http://news.korea.com/main_weather.asp)에서

악성링크(exflow.net/ken/index.html)가 삽입된 점 또한 확인되었으며, 1월 13일 20시 경에 제거되었다.

▪ 이 악성링크에서 사용자의 감염을 유도하기 위해 사용한 취약점은 9종(3544-0507-1723-4681-

5076-1889-0422-2465-0634)으로 Gongdad Exploit Kit과 Caihong Exploit Kit이 함께 사용되었다.

▪ 위의 악성 링크 이외에도 코리아닷컴 뉴스 페이지에서는 jaemoon.co.kr/ken/index.html,

crehome.co.kr/pop/index.html 등의 악성링크가 추가로 발견되어 분석하였다.

▪최종 다운로드되는 악성코드를 분석한 결과, 대부분 트로이목마 형태로 파밍공격과 백도어 기능을 가졌다.

▣ 세부 정보

▶ 악성 링크 삽입 스크린샷 – 1월 13일(월) 16시경

2

▶ 악성 링크 구조 – 1월 13일 22시경 출현

news.korea.com/main_weather.asp

--> crehome.co.kr/pop/index.html

--> ageha.co.kr/pop/index.html

▶ 악성 링크 소스 - crehome.co.kr/pop/index.html

▶ 악성 링크 소스 - ageha.co.kr/pop/index.html

3

최종 다운로드파일 URL http://kent.rootmoney.com/pc/denoct.exe

추가 생성파일

NAME denoct.exe

MD5 3f2afbcda44d3618b1252d968f915318

위치 C:\Program Files\Common Files\denoct.exe

추가 생성파일

NAME hosts.ics

MD5 -

위치 C:\WINDOWS\system32\drivers\hosts.ics

▶ C&C 정보(악성 네트워크 연결)

▪ 위에 언급된 악성 링크를 분석한 결과 다음과 같이 다양한 C&C 연결정보가 공격에 활용되었다.

121.119.254.25

670089a.0015.npycom.com/korea.html

user.qzone.qq.com/2878663002

user.qzone.qq.com/2091757018

cheng.kor93.iis800.com/index.htm

user.qzone.qq.com/2011006050

v1.v4yf.com

67.198.139.216:805/plus.php

[그림. QQ로 연결 확인]

▶ 바이너리 정보(악성 파일)

▪ 위에 언급된 악성 링크를 분석한 결과, 사용자에게 감염을 시도할 때 사용되는 악성 파일의 정보는 다음과 같다.

kent.rootmoney.com/pc/denoct.exe (3F2AFBCDA44D3618B1252D968F915318)

biteo.co.kr/bbs/confe.scr (C65EFCA9EDCB8F28C03461C26F522833)

110.34.198.132:802/smss.exe (A0BB6B49B51E981F30174240E8D65C57)

▶ 바이너리 분석 정보

▪ http://kent.rootmoney.com/pc/denoct.exe 파일을 동적 분석한 결과는 다음과 같다.

4

추가 생성파일

NAME hosts

MD5 -

위치 C:\WINDOWS\system32\drivers\hosts

File system activity

Opened files

C:\Program Files\Common Files\denoct.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\net.exe

C:\WINDOWS\system32\drivers\hosts.ics

C:\WINDOWS\system32\drivers\hosts

Copied files

C:\Program Files\Common Files\denoct.exe

Registry activity

Set keys

KEY:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\koreanproc

TYPE: REG_SZ

VALUE: C:\Program Files\Common Files\denoct.exe

Process activity

Created processes

net start

Runtime DLLs

c:\windows\system32\kernel32.dll

c:\windows\system32\msvcrt.dll

c:\windows\system32\user32.dll

c:\windows\system32\gdi32.dll

c:\windows\system32\advapi32.dll

c:\windows\system32\shell32.dll

c:\windows\system32\ole32.dll

c:\windows\system32\oleaut32.dll

c:\windows\system32\wininet.dll

c:\windows\system32\avicap32.dll

Network activity

http://670089a.0015.npycom.com/korea.html

http://user.qzone.qq.com/2878663002

파밍 연결지

114.191.54.223 kBstar.coM

114.191.54.223 www.kBstar.coM

114.191.54.223 OpeN.kBstar.coM

114.191.54.223 omoNey.kBstar.coM

5

114.191.54.223 oBaNk.kBstar.coM

114.191.54.223 oBaNk1.kBstar.coM

114.191.54.223 Naver.coM

114.191.54.223 www.Naver.co.KR

114.191.54.223 Naver.cO.kR

114.191.54.223 NoNghyup.coM

114.191.54.223 www.NoNghyup.coM

114.191.54.223 BaNkiNg.NoNghyup.coM

114.191.54.223 iBz.NoNghyup.coM

114.191.54.223 www.Naver.coM

114.191.54.223 shiNhaN.coM

114.191.54.223 Naver.kR

114.191.54.223 www.Naver.Kr

114.191.54.223 kIsA.kBstor.coM

114.191.54.223 kIsA.Nenghuyp.coM

114.191.54.223 kIsA.shiNhoN.coM

114.191.54.223 kIsA.wooribenk.coM

114.191.54.223 kIsA.idk.co.kR

114.191.54.223 kIsA.epostbenk.go.kR

114.191.54.223 kIsA.hoNabenk.coM

114.191.54.223 kIsA.kcB.co.kR

114.191.54.223 kIsA.kfoc.co.kR

114.191.54.223 www.NaTe.nEt

114.191.54.223 www.NaTe.Kr

114.191.54.223 NaTe.kR

114.191.54.223 pharmiNg.kIsA.or.kR

114.191.54.223 www.shiNhaN.coM

114.191.54.223 BaNkiNg.shiNhaN.coM

114.191.54.223 BizBaNk.shiNhaN.coM

114.191.54.223 OpeN.shiNhaN.coM

114.191.54.223 daUm.NeT

114.191.54.223 iBk.co.kR

114.191.54.223 www.NaTe.cO.kr

114.191.54.223 NaTe.Co.Kr

114.191.54.223 www.iBk.co.kR

114.191.54.223 myBaNk.iBk.co.kR

114.191.54.223 kiup.iBk.co.kR

114.191.54.223 OpeN.iBk.co.kR

114.191.54.223 www.daum.NeT

114.191.54.223 wooriBaNk.coM

114.191.54.223 www.wooriBaNk.coM

114.191.54.223 piB.wooriBaNk.coM

114.191.54.223 u.wooriBaNk.coM

114.191.54.223 haNmail.NeT

114.191.54.223 keB.co.kR

6

114.191.54.223 www.keB.co.kR

114.191.54.223 eBaNk.keB.co.kR

114.191.54.223 oNliNe.keB.co.kR

114.191.54.223 OpeN.keB.co.kR

114.191.54.223 www.haNmail.Net

114.191.54.223 haNaBaNk.coM

114.191.54.223 www.haNaBaNk.coM

114.191.54.223 OpeN.haNaBaNk.coM

114.191.54.223 www.haNacBs.coM

114.191.54.223 kfCc.co.kR

114.191.54.223 www.kfcc.co.kR

114.191.54.223 iBs.kfcc.co.kR

114.191.54.223 epostBaNk.go.kR

114.191.54.223 www.epostBaNk.go.kR

114.191.54.223 nAtE.coM

Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634-2465

Malware IP Address Malware IP Nation ISP Name

101.79.5.30 Korea G&j, Ltd.

※ 본 분석보고서에 언급된 내용은 고급보안정보구독서비스 엔터프라이즈 레벨 가입자에 한해 15일(수)에 이미

제공되었다.

끝.

빛스캔주식회사는 웹보안 전문 기업으로 국내외 210만개 웹사이트를 모니터링함으로써 웹사이트를 통해 악성코드

에 감염될 수 있는 악성 링크를 탐지 및 분석하는 체계를 운영하여 누적된 DB를 활용하여 차단 장비 및 보고서를

제공하고 있으며, 웹 취약점을 온라인으로 진단할 수 있는 비트스캐너도 운영하고 있다. info@bitscan.co.kr