Loading presentation...
Prezi is an interactive zooming presentation

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Copy of icefog Kaspersky

Inbrief Communication
by

동화 강

on 24 December 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Copy of icefog Kaspersky

Contents
Step 2
Step 1
1. 공격 개요도

2. 공격에 사용된 취약점

3. Backdoor

4. Comand & Control

5. Kaspersky의 대응

6. KISA의 입장
The 'ICEFOG' APT
A Tale Of Cloak and Three Daggers KASPERSKY lab

Team 3. 강동화 김유홍 최정현 한상원
공격개요도
공격 성공
정보 탈취
Step 3
KISA 시나리오
공격성 E-mail 전송
Microsoft Office Exploit


CVE-2012-1856(“Tran Duy Linh”)
- 악의적 DOC 파일을 이용해
악성코드를 실행시키는 취약점


CVE-2012-0158
- MSCOMCTL.OCX 원격코드
실행 취약점


JAVA Exploit
CVE-2013-0422 and CVE-2012-1723
- IE 폴더에 악의적 DLL 파일 설치
- 권한 상승을 통한 원격 코드 실행

Icefog APT에 사용 된 URL

www.securimalware.net/info/update.exe
공격에 사용된 취약점들
HLP (악성 .hlp 파일 실행 시 코드 실행)
Sample


ResisterRoutine



Call


CreateThread()


OxBF XOR 연산
HWP
(한글 프로그램의 취약점을 이용해 임의코드 실행)
- 관심을 끌기 위한 제목의 파일


- 파일이 정상적으로 열리는 것 같이 보이면서 악성코드 감염

click
C&C Server
침해사고
조사팀
코드분석팀
취약점
분석팀
침해사고
탐지팀
분석기획팀
Backdoor
Old 2011 Icefog
공격 대상 : 일본 상원의원, 하원의원

공격 방법 : 이메일을 통한 데이터 탈취 및 명령 수행
Type1 Icefog
후지 TV
샘플추출
Explorer.exe의 로드 dll 이용
-Wdmaud.drv
-DLL 참조 우선순위 이용

탈취 데이터

-사용자 이름
-시스템 이름
-IP 주소
-실행중인 프로세스
-윈도우 버전
Victim 제어

-cmd_<COMMAND>

-upload_<FILEPATH>_<FILENAME>

-download_<LOCALPATH>\<FILENAME>/<NAMEONSERVER>

-code_<FILENAME>
Type 2 Icefog
Type1 Icefog와 유사
프록시 서버 이용
대부분 "alive.asp"라는 스크립트 사용
재부팅 후 사라짐
Type3 & Type4 Icefog
Type 3 Icefog
- "view.asp", "update.asp"
스크립트 사용

Type 4 Icefog
- "upfile.asp" 스크립트 사용
악성코드 분석
C&C서버 도메인 확인
KASPERSKY
Type NG Icefog
Icefog 백도어 중 최신 버전

기존의 웹 기반 형식과 달리 TCP 5600
포트를 사용하는 어플리케이션 형태

기능은 기존의 Icefog type과 유사
Lateral Movement Tools
C&C 서버를 통해 배포 된 Tools

기능

-윈도우 사용자 자격 증명
-Outlook 암호 저장
-IE에 저장 된 암호 저장
-시스템 정보 수집


Type1 C&C
- 웹 브라우저를 통해
직접 Victim을 제어
Type 2 C&C
- Proxy 사용

- 공격자의 신분을 숨김
싱크홀 운영
백신 시그니쳐 추가
Type 3 C&C
- 2가지 기본 기능:
View, Update

- 정확한 동작방식 알려지지 않음

Type 4 C&C
- 싱크홀 방식으로 알아냄

- 정확한 동작방식 알려지지 않음

Icefog-NG C&C
-웹 서버 방식 아님

-Standalone TCP Server로 작동
User Interface
ASP.NET으로 작성 되었음
Victim들을 관리하기 쉽게 구성 되어 있음

Control Panel
Visual Basic.NET web application

File System
확보한 데이터, 로그, 임시 파일 저장
Example
Target OS: Windows(Kr)

Target Device: USB Flash Drive

1. USB에 있는 파일을
c:\temp\mslog\ 폴더로
복사

2. 복사 된 파일을 C&C로
업로드

Icefog 최신 변종으로 TCP 5600 port에 맞춰진
윈도우 데스크탑 어플리케이션


종합상황
대응팀
Hit & Run
Full transcript