갓모드[GodMode, CVE-2014-6332]
CVE-2014-6332 취약점은 윈도 OLE(Object Linking and Embedding) 자동화 배열 원격코드 실행 취약점으로,
인터넷 익스플로러(Internet Explorer, 이하 IE)가 OLE 객체를 처리하는 과정에서 원격으로 코드를 실행하는 취약점이다.
이 취약점은 IE의 VBScript 엔진에서 배열의 크기를 재설정하는 과정에서 충분한 에러 처리를 수행하지 않아 발생한다.
배열의 크기를 재설정할 때 배열의 크기를 저장하고 있는 변수를 새로운 값으로 갱신하는데,
배열을 할당하는 과정에서 에러가 발생한 경우 이전 값으로 되돌리지 않는다.
따라서 초기 배열의 영역 이외의 메모리를 읽고, 쓰고, 접근하는 것이 가능하게 된다.
참고 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23225
실버라이트 취약점 [CVE-2013-0074]
참고 : http://hummingbird.tistory.com/5406
플래시 취약점 [CVE-2014-0515]
참고 : http://hacklab.kr/?p=203
IP 체크
'http://checkip.dyndns.org/' 접속을 통한 공인IP 체크
PE 내장
악성코드에 securityxploded에서 제작된 툴을 내장하여 정보수집에 활용
http://securityxploded.com/download.php#exescan
랜섬웨어 - 볼륨 섀도 카피 삭제
악성코드는 ‘vssadmin.exe Delete Shadows/All/Quiet‘
명령을 실행하여 볼륨 섀도 카피를 삭제한다.
이 경우 윈도 운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 이용할 수 없다.
이 명령은 CryptLocker류에서 공통적으로 확인할 수 있는 기능이다.
시작프로그램 레지스트리
HKCU\Software\Microsoft\Windows\CureentVersion\Run\
시스템 디렉토리
%SystemRoot%\
%SystemRoot%\system\
%SystemRoot%\system32\
%SystemRoot%\system32\
%SystemRoot%\system32\dllcache
%SystemRoot%\system32\drivers
%SystemRoot%\SysWOW64\
%SystemRoot%\SysWOW64\dllcache
%SystemRoot%\SysWOW64\drivers
SysWOW64는 64비트 시스템에서만 존재하는 폴더로 32비트와의 호환성을 위해 존재하는 폴더이다.
“%SystemRoot%\system32\” 폴더에 64비트 시스템 파일이 위치한다면 “%SystemRoot%\SysWOW64\”에는 32비트 시스템 파일이 위치한다.
따라서, 64비트 시스템에서는 2개의 폴더를 모두 조사할 필요가 있다.
사용자 디렉토리
%SystemDrive%\Users\Public\(%Public%)
%SystemDrive%\Users\Default\
사용자 데이터 디렉토리
%UserProfile%\AppData\
%UserProfile%\AppData\Local\(%LocalAppData%)
%UserProfile%\AppData\LocalLow\
%UserProfile%\AppData\Roaming\(%AppData%)
%SystemDrive%\ProgramData\(%AllUsersProfile%)
휴지통 디렉토리
%SystemDrive%\$Recycle.Bin\
사용자볼륨 디렉토리
%SystemDrive%\System Volume Information\
임시 디렉토리
%UserProfile%\AppData\Local\Temp = %Temp%
%SystemRoot%\Temp\
%LocalAppData%\Microsoft\Windows\Temporary Internet Files\
웹브라우저 다운로드 디렉토리
%UserProfile%\Downloads
%UserProfile%\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\
%SystemRoot\Downloaded Program Files //Active X
알려진 디렉토리
%SystemDrive%\HNC
기타 디렉토리
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup
%SystemDrive%\Program Files\Common Files\ = %CommonProgramFiles%
%SystemDrive%\Program Files (x86)\Common Files\ = %CommonProgramFiles(x86)%
%UserProfile%
(=%HomePath%)
%Windir%
%LocalAppdata%
%Public%
%SystemRoot%
%Temp%
(=%TMP%)
'Analysis > Malware' 카테고리의 다른 글
| GenPack:Trojan.Generic (0) | 2016.06.21 |
|---|---|
| CryptXXX Decryptor (0) | 2016.06.21 |
| Hosts 변조 (0) | 2016.06.20 |
| Anti-AV 센스 (0) | 2016.06.20 |
| W32.Madangel (0) | 2016.04.07 |