본문 바로가기
취약점 정보1

美 정보당국 해킹 공격 탐지정보 공개

Ryansecurity 2017. 6. 14. 15:29
728x90

개요

  • 미국 국토안보부와 FBI 에서 항공우주, 금융, 인프라 시설을 타겟으로 한 해커그룹(히든 코브라)에 대한 분석정보를 공개(6.14)
  • 관련 보고서 내 악성코드 및 네트워크 탐지 패턴 등이 공개되어 있음

 

탐지패턴

  • Network Signatures
    alert tcp any any -> any any      (msg:"DPRK_HIDDEN_COBRA_DDoS_HANDSHAKE_SUCCESS"; dsize:6; flow:established,to_server; content:"|      18 17 e9 e9 e9 e9|"; fast_pattern:only; sid:1; rev:1;)

    alert tcp any any -> any any      (msg:"DPRK_HIDDEN_COBRA_Botnet_C2_Host_Beacon"; flow:established,to_server; content:"|      1b 17 e9 e9 e9 e9|"; depth:6; fast_pattern; sid:1; rev:1;)
  1. YARA 규칙 (악성코드 탐지)
    "strings: $rsaKey = {7B 4E 1E A7 E9 3F 36 4C DE F4 F0 99 C4 D9 B7 94 A1 FF F2 97 D3 91 13 9D C0 12 02 E4 4C BB 6C 77 48 EE 6F 4B 9B 53 60 98 45 A5 28 65 8A 0B F8 39 73 D7 1A 44 13 B3 6A BB 61 44 AF 31 47 E7 87 C2 AE 7A A7 2C 3A D9 5C 2E 42 1A A6 78 FE 2C AD ED 39 3F FA D0 AD 3D D9 C5 3D 28 EF 3D 67 B1 E0 68 3F 58 A0 19 27 CC 27 C9 E8 D8 1E 7E EE 91 DD 13 B3 47 EF 57 1A CA FF 9A 60 E0 64 08 AA E2 92 D0} condition: any of them"
     
    "strings: $STR1 = "Wating" wide ascii $STR2 = "Reamin" wide ascii $STR3 = "laptos" wide ascii condition: (uint16(0) == 0x5A4D or uint16 (0) == 0xCFD0 or uint16(0) == 0xC3D4 or uint32(0) == 0x46445025 or uint32 (1) == 0x6674725C) and 2 of them}“
     
    "strings: $randomUrlBuilder = { 83 EC 48 53 55 56 57 8B 3D ?? ?? ?? ?? 33 C0 C7 44 24 28 B4 6F 41 00 C7 44 24 2C B0 6F 41 00 C7 44 24 30 AC 6F 41 00 C7 44 24 34 A8 6F 41 00 C7 44 24 38 A4 6F 41 00 C7 44 24 3C A0 6F 41 00 C7 44 24 40 9C 6F 41 00 C7 44 24 44 94 6F 41 00 C7 44 24 48 8C 6F 41 00 C7 44 24 4C 88 6F 41 00 C7 44 24 50 80 6F 41 00 89 44 24 54 C7 44 24 10 7C 6F 41 00 C7 44 24 14 78 6F 41 00 C7 44 24 18 74 6F 41 00 C7 44 24 1C 70 6F 41 00 C7 44 24 20 6C 6F 41 00 89 44 24 24 FF D7 99 B9 0B 00 00 00 F7 F9 8B 74 94 28 BA 9C 6F 41 00 66 8B 06 66 3B 02 74 34 8B FE 83 C9 FF 33 C0 8B 54 24 60 F2 AE 8B 6C 24 5C A1 ?? ?? ?? ?? F7 D1 49 89 45 00 8B FE 33 C0 8D 5C 11 05 83 C9 FF 03 DD F2 AE F7 D1 49 8B FE 8B D1 EB 78 FF D7 99 B9 05 00 00 00 8B 6C 24 5C F7 F9 83 C9 FF 33 C0 8B 74 94 10 8B 54 24 60 8B FE F2 AE F7 D1 49 BF 60 6F 41 00 8B D9 83 C9 FF F2 AE F7 D1 8B C2 49 03 C3 8B FE 8D 5C 01 05 8B 0D ?? ?? ?? ?? 89 4D 00 83 C9 FF 33 C0 03 DD F2 AE F7 D1 49 8D 7C 2A 05 8B D1 C1 E9 02 F3 A5 8B CA 83 E1 03 F3 A4 BF 60 6F 41 00 83 C9 FF F2 AE F7 D1 49 BE 60 6F 41 00 8B D1 8B FE 83 C9 FF 33 C0 F2 AE F7 D1 49 8B FB 2B F9 8B CA 8B C1 C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 8B 7C 24 60 8D 75 04 57 56 E8 ?? ?? ?? ?? 83 C4 08 C6 04 3E 2E 8B C5 C6 03 00 5F 5E 5D 5B 83 C4 48 C3 } condition: $randomUrlBuilder"

     

시사점

  1. 침입탐지(예방)시스템을 운영하는 조직에서는 공개된 탐지 패턴을 시스템에 등록하여 만일의 공격에 사전 대비 가능



[출처]
1. www.us-cert.gov/ncas/alerts/TA17-164A

728x90
저작자표시

'취약점 정보1' 카테고리의 다른 글

ipTIME 유무선 공유기 6종 펌웨어 10.00.4 배포  (0) 2017.07.06
ipTIME 유무선 공유기 82종 펌웨어 10.00.2 배포  (0) 2017.06.30
HipChat 해킹, 사용자 데이터 손상 가능성  (0) 2017.05.12
Intel社 관리엔진(ME)에서 보안 취약점 발견  (0) 2017.05.12
CVE-2016-7255 exploit : Win32k 권한 상승  (0) 2017.01.19

'취약점 정보1' Related Articles

티스토리툴바