| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 활성화함수파이썬
- 신경망 학습
- 인공지능
- 달고나bof
- FTZlevel10
- 신경망
- 밑바닥부터시작하는딥러닝
- BOJ
- c언어
- C언어 알고리즘
- 백준
- 정보보안
- C언어알고리즘
- 파이썬
- 보안
- 딥러닝
- C알고리즘
- 머신러닝
- 8086CPU레지스터
- 딥러닝파이썬
- 알고리즘
- 신경망파이썬
- 파이썬신경망
- 백준알고리즘
- 소프트맥스함수
- 신경망구현
- 버퍼오버플로우
- 항등함수
- 스트림암호
- BOF
- Today
- Total
HeeJ's
[04] Hancitor with Ficker Stealer, Cobalt Strike and a Network Ping Tool 본문
[04] Hancitor with Ficker Stealer, Cobalt Strike and a Network Ping Tool
meow00 2021. 5. 12. 20:27
표준 웹 필터를 사용하여 필터링을 해주었다.
패킷들을 하나씩 살펴보다 보면 www.nuicala.inspia.net/mars.php 도메인을 찾을 수 있었다.
위의 .php로 끝나는 악성 word 문서를 제공하는 URL을 찾기 위해 필터링을 진행하였다.
이는 HTTP GET 요청을 보내며 .php로 끝나는 도메인에 대한 패킷이다.
필터링 된 두 개의 패킷 중, 아래 패킷이 조금 더 의심스러워 HTTP Stream을 따라가 보았다.
saveAs에 대한 스크립트 함수 직후, 많은 양의 base64 텍스트를 확인했다.
이는 word 문서에 대한 악의적인 행동이라고 볼 수 있다.
많은 양의 base64 텍스트를 지나고 나면, '0125_206410993.doc'라는 파일을 저장하도록 하는 스크립트가 있다.
이는 악성 word문서의 파일 이름을 표시하고 브라우저를 다른 URL로 새로고침하는 스크립트이다.
Export 기능을 사용하여 위의 악성 스크립트를 추출했다.
mars.php라는 이름으로 파일을 추출해주었다.
이 스크립트를 웹 브라우저에서 열어주게 되면 악성 word 문서를 저장하는 옵션이 포함된 팝업 메뉴가 뜨는 것을 확인할 수 있다. 웹 브라우저의 주소 또한 GET 방식으로 0125_206410993.doc를 다운로드하는 URL로 변경되었다.
Ficker Stealer
Ficker Stealer에 대한 exe는 자체적으로 악성이 아니며 api.ipify.org?/format=xml에 대한 IP 주소 검사를 발생시키기 때문에 위와 같이 필터링을 진행해주었다. 그리고 hostname이 api.ipify.org인 패킷을 찾을 수 있었다.
Ficker Stealer는 driverwaysnowservice.com에 대한 DNS 쿼리를 생성하고 TCP 포트 80을 통해 HTTP가 아닌 트래픽을 해당 도메인으로 보낸다. 이때, 보내는 트래픽에 감염된 Windows 호스트에서 도난당한 데이터가 포함되어 있다.
이를 확인하기 위해 필터링을 진행해 줄 것이다.
drivewaysnowserice.com에 사용된 IP 주소를 찾아주었다. 이의 IP 주소는 8.209.78.68이다.
알아낸 ip 주소에 대한 TCP 스트림을 찾기 위해 필터링을 진행했다.
TCP scr 포트로 49813을 사용한 TCP 스트림을 따라가주었다.
3개의 클라이언트 패킷과 201개의 서버 패킷이 존재하고 있다.
서버 패킷의 대부분은 인코딩되거나 난독화된 것으로 보인다.
그중에서 특이한 점은 host가 driverwaysnowservice.com인 client 패킷에서 /6gbd5ws.exe 실행파일에 대해 GET요청을 한다는 점이다.
이를 확인하기 위하여 ip주소가 8.209.78.68이면서 hostname에 drivewaysnowservice가 포함된 패킷을 확인하기 위한 필터링을 진행하였다.
Cobalt Strike
23.106.80.14:1080의 여러 프레임에서 표시되는 것이 Cobalt Strike 프레임이다.
Cobalt Strike의 경우 submit.php?id= 를 포함하는 모든 HTTP POST 요청에는 감염된 각 Windosw 호스트에 대한 고유한 식별 번호가 있음을 확인할 수 있다.
Cobatl Strike를 통해 전송된 멜웨어는 피해 호스트에서 디코딩되는 인코딩 바이너리로 나타난다.
이 때문에 pcap에서 실제 악성 코드 바이너리를 찾을 수 없기 때문에 전송된 후속 악성 코드는 감염 후의 트래픽으로 식별할 수 있다.
따라서, 네트워크 핑 도구가 Cobalt Strike를 통해 전송되었음을 나타내는 ICMP 필터링을 해주었다.
Hancitor의 특징 중, 감염된 Windows 호스트에서 복구된 네트워크 핑 도구 샘플은 내부의 라우팅이 불가능한 IPv4 주소 공간을 대상으로 1,700만 개 이상의 IP주소를 ping 하므로 약 1.5GB의 ICMP 트래픽을 생성한다.
이를 확인해보면, ping 트래픽은 다음의 주소 공간에 위치한다.
192.168.0.0 ~ 192.168.254.254
172.16.0.0 ~ 172.31.254.254
10.0.0.0 ~ 10.254.254.254
위의 다수의 ping 트래픽이 cobalt strike를 통해 전송된다.
'<Project> > <Network>_2021' 카테고리의 다른 글
| [05] Hancitor with Ficker Stealer, Cobalt Strike and NetSupport Manager RAT (0) | 2021.05.13 |
|---|---|
| [03] Hancitor with Ficker Stealer and Cobalt Strike(2) (0) | 2021.05.12 |
| [02] Hancitor with Ficker Stealer and Cobalt Strike(1) (0) | 2021.05.11 |
| [01] Hancitor 맬웨어 패킷 분석을 위한 사전 공부 (0) | 2021.05.11 |
