Backdoor.Ghostnet

개요

 

Backdoor.Ghostnet 악성코드는 원격 제어 기능,키로그 기능, 도청 기능등을 포함한 종합 모듈 형태의 악성코드다

MD5:74e44e1829e7b12548dc4b215b0bda12

상세 분석

 

 

<바이러스 토탈 결과>

 

 

<패킹 결과>

 

AhnLab-V3	O
BitDefender(알약)	O
nProtect	O
ViRobot	O

 

<국내 주요 백신 결과>

 

 

"Cuckoo Sandbox" 사용해서 행동분석을 진행 한다. 악성코드 실행 후 랜덤.dll 파일을 생성한다

 

 

생성한 악성 파일(랜덤.dll) 파일은 scvhost에 인젝션 해서 동작 한다.

 

 

CMD 명령어를 사용해서 파일을 삭제 한다.

 

 

악성 파일(랜덤.dll)은 서비스(svchost.exe)에 "Microsoft .Net Framework COM+ Support" 서비스 항목을 등록하여 Windows 시작시 악성코드가 자동으로 실행한다.

 

 

파일 검색 기능이 존재하며 파일삭제,폴더 삭제 기능을 가지고 있다

 

 

사운드에 대한 도청 기능으로 waveInPrepareHeader 함수를 호출해서 녹음에 필요한 버퍼를 준비하고 waveInStart 함수 호출로 녹음을 시작한다.

 

 

악성코드 감염 PC 드라이브 정보를 수집 하고 C&C 서버로 전송 한다

 

 

명령을 통해서 외부 사이트 접속을 통해서 다운로드 받는 기능을 가지고 있다.

 

 

C&C 서버의 소재지는 대한민국으로 지속적으로 연결을 시도한다.

 

참고 URL 및 도서

- http://malwr.com/

 

- http://msdn.microsoft.com/ko-kr/library/s6y8k15h(v=vs.90).aspx

 

- http://msdn.microsoft.com/ko-kr/library/ms973847.aspx