Windows 레지스트리 내에 숨는 악성코드 발견

• Windows 레지스트리에 악성코드를 숨겨 백신 탐지를 우회하고 추가적인 악성코드를 다운로드 하거나 시스템
  정보를 탈취하는 악성코드가 발견됨

 

주요내용

• Windows 레지스트리에 악성코드를 숨기는 형태의 악성코드가 발견됨. 해당 악성코드는 추가적으로 악성
  코드를 다운로드 하고 시스템 정보를 탈취
• 윈도우의 정상 기능인 Windows PowerShell을 이용하여 스크립트를 작성하였기 때문에 탐지에 어려움이 
  있었고 C&C서버와의 통신을 숨기기 위해 변조된 네트워크 트래픽을 발생시키며, Tor 네트워크를 이용함
• Windows PowerShell을 이용하여 스크립트를 작성하고 ZwSetValueKey API를 사용하여 자동시작 항목에 
  레지스트리 값을 생성함
• 등록된 레지스트리의 Data값은 인코딩 되어 있는 파일임
• 레지스트리의 Data값을 복호 과정 거치면 MZ파일이 생성되는 데, 해당 파일은 DLL 파일로 정상 DLLHOST
  .EXE 프로세스에 인젝셤 됨
• 인젝션 된 DLL은 다른 악성코드를 추가적으로 다운로드하고 보안시스템을 무력화 한 후 시스템 정보를 탈취,
  탈취하는 정보는 아래와 같음
    - Operating system and architecture
    - UUID
    - Malware version
    - Build date
• 탈취한 정보는 아래와 같은 형식으로 공격자에게 전송함으로써 공격자는 시스템 정보를 획득함
    - http://178.89.159.34/q/type={status: start, install, exist, cmd or low}&version=1.0&aid={id}&
      builddate=%s&id={iuuid}&os={OS version}_{OS architecture}

 

[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-malware-hides-in-windows-registry/