본문 바로가기

malware

POWELIKS : Windows 레지스트리에서 악성 코드를 숨 깁니다

728x90

우리는 Windows 레지스트리에있는 모든 악성 코드를 숨기는 악성 코드를 발견했다. 상기 전술은 트렌드 마이크로가로 감지 악성 코드에 탈세 및 위장 메커니즘을 제공 TROJ_POWELIKS.A을 . 실행되면, TROJ_POWELIKS.A 더 시스템 감염을 일으킬 수 있습니다 파일을 다운로드합니다. 이 악성 코드의 위험에 의해 영향을받는 시스템에 따라서 추가 시스템 감염을 일으키는 원인이 다른 악성 코드에 의해 감염된다. 또한, 다른 공격을 개시 범죄자에 의해 사용될 수있는 시스템 정보를 훔치려하는 기능을 갖는다.

회피 메커니즘

어떤 파일 참조가 없기 때문에 별도로 스텔스 메커니즘에서, 이것은 또한 과학 수사에 어려움을 제공 할 수있다. 가능한 한 많이, 위협은 더 악의적 인 활동을 선동하기 위해 시스템 및 네트워크에서 탐지되지 않도록하기 위해 노력했다. 하지, 그것은 다운로드하여 감염된 시스템에 설치하는 경우 Windows PowerShell을가 영향을받는 시스템에 설치되어있는 경우 우리의 분석을 바탕으로, 검사를 TROJ_POWELIKS. 이것은 인코딩 된 스크립트 파일을 실행하기 위해 나중에 사용될 것이다. 이와 같이, PowerShell은 감염된 시스템에 다른 악성 파일을 다운로드에 대한 책임 (도 .DLL) 악성 코드의 실행 코드가 포함 된 인코딩 된 스크립트를 실행합니다. 그것이 바로 윈도우 또는 응용 프로그램에 의해 실행되지 않습니다 때문에이 기술의 회피 전술의 한 부분으로 이루어집니다.

그런 다음 API의 ZwSetValueKey를 사용하여 공백 또는 널 (null) 자동 시작 항목을 생성

powerliks​​_registry

이것은 반드시 새로운 기능이 아니며에 설명되어 있습니다 MSDN . NULL 레지스트리 값을 통해, 사용자가 널값와 레지스트리 키의 내용을 볼 수 없다. 그냥 때문에 null 값에 오류가 발생합니다 삭제, 레지스트리 키를 삭제하는 옵션이 있지만. 그러나, 특정 데이터는 여전히 아무 문제없이 시스템의 다시 시작하는 동안 실행됩니다. 간단하게 말하면, 사용자는 볼 수 없으므로, 따라서 항목을 그들이 시스템을 다시 부팅 할 때 악성 코드는 여전히 실행됩니다 삭제합니다. 

또한 악성 코드가 포함 된 다른 레지스트리 항목을 생성합니다. 이 생성 된 레지스트리 데이터는 다음과 같습니다 :

POWERLIKS2

이 레지스트리 데이터는 인코딩 된 파일이다. 여러 복호 후 .DLL 파일은 다음 코드에서 발견 될 수있다 :

POWERLIKS4

이 .DLL 파일이어서 정상 DLLHOST.EXE 프로세스에 주입된다. 삽입 된 코드, 따라서 시스템의 보안을 손상, 다른 악성 코드를 다운로드 할 수있다. 또한 영향을받는 시스템에서 다음과 같은 정보를 훔치는 :

  • 운영 체제 및 아키텍처
  • UUID
  • 악성 코드 버전
  • 날짜를 구축

이 정보는 다음과 같은 형식을 사용하여 POST 명령을 통해 전송됩니다

  • HTTP : // 178 [점] 89 [도트] 159 [점] 34 / Q / 유형 = {상태 : cmd를 또는 낮은 존재, 설치 시작} 버전 = 1.0 및 지원 = {ID} builddate = % S & ID = {iuuid } 운영 체제 = {OS 버전} _ {OS 아키텍처}

우리는 TROJ_POWELIKS.A로 .EXE 및 .DLL 파일과 JS_POWELIKS.A로 인코딩 된 스크립트를 감지합니다. 이 위협에 사용되는 해시는 다음과 같습니다

  • EXE - BFA2DC3B9956A88A2E56BD6AB68D1F4F675A425A
  • DLL - 3506CE5C88EE880B404618D7759271DED72453FE

위협 환경에 미치는 영향

사이버 범죄자들은​​ 시스템에 탐지되지 않도록하기위한 새로운 전술과 기술을 사용하고 밑으로 남아있다. 간단한 숨겨진 파일이 더 사전 루트킷 기술 속성에서이 전술이 될 수 있습니다. 과거에 우리는 여러 가지 주목할만한 회피 전술을 전시 공격에 대해 블로그 :

EMOTET과 주마와 같은 주목할만한 악성 코드는 레지스트리. 활용의 같은 전술 사용 EMOTET 정보 도용 네트워크 활동을 막 레지스트리에 PE 구성 요소가. 또한, 그 (EMOTET는) 파일 항목에있는 다운로드. 도난 암호화 정보는 레지스트리 엔트리에 저장된다. 한편, 주마는  레지스트리에 암호화 하였다.

Windows 레지스트리를 남용의 루틴이 더 이상 새로운이지만, 그것은 발견되지 않을하고 사용자의 지식없이 더 악의적 인 활동을 선동 할 수 있도록 사이버 범죄자과 공격자가 지속적으로 '무기'또는 악성 코드를 개선하고 있음을 나타냅니다하지 않을 수 있습니다. 회피 전술 용 레지스트리의 이용은 AV 파일 기반 솔루션은 시스템에 아무것도 악성 실행을 탐지 할 수 없을 것이라는 결정적인 주어진다. 또한, 사용자가 모르는 반드시 레지스트리를 검사하지 않지만 오히려 의심스러운 파일이나 폴더를 찾습니다. 우리는 미래에 우리가 성장 연속 AV 보안과 같​​은 루틴을 자랑 해 다른 악성 코드를 볼 수 있다는 것을 추측.

728x90