DNS 쿼리를 이용해 명령어를 주고받는 파일리스 악성코드 - 보안/해킹

진행중 이벤트

최근글 최근댓글

Windows Forms Professional Utilities "Rufus"

OS Forms "OsBlood"

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

바이러스 DNS 쿼리를 이용해 명령어를 주고받는 파일리스 악성코드

작성자: j1159 조회 수: 184 PC모드

개요

Talos Team, 윈도우 파워쉘 스크립트를 사용하고 DNS TXT 기록 요청 및 응답으로 C&C와 통신하는 악성코드 발견

주요내용

시스템에 파일을 생성하지 않고, 메모리에서 실행되는 파일리스 형태의 악성코드
※ DNS TXT : DNS가 텍스트로 된 정보를 전송할 때 사용하는 기록으로 이메일 인증 기능에 주로 사용됨
- 악성코드 실행을 위해 유명 보안업체를 사칭하여 사용자가 매크로 기능을 사용하도록 유도
- 이 후 DNS TXT 레코드 내에 저장된 파워쉘을 악용해 압축, 난독화 해제, 백도어 실행 등을 수행
- 최종적으로, 스크립트에 하드코딩 된 여러 도메인 중 하나의 도메인으로 명령을 주고 받게됨

DNS 요청을 통해 코드를 읽어 들이므로 감염 시스템에는 기록이 남지 않아 파악하기 어려움
- 공격이 성공하면 윈도우 커맨드 라인에서의 STDOUT과 STDERR 응답을 MSG 메시지로 전송

시사점

기존 보안장비가 집중하지 않는 DNS 트래픽 부분을 악용하므로 DNS 쿼리 모니터링/필터링 강화 필요

[출처]
1. TALOS, “Covert Channels and Poor Decisions: The Tale of DNSMessenger”, 2017.3.2
2. SECURITY AFFAIRS, “Talos team spotted a PowerShell malware that uses DNS queries to contact the C2”, 2017.3.3.

작성 : 침해대응단 탐지1팀

이 게시물을

test test test

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

2017.03.22 17:22
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

2017.03.22 20:27
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

2017.03.23 02:24
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정보 감사합니다.

2017.03.23 08:15
가입일: 2019:09.24
총 게시물수: 3
총 댓글수: 190

좋은 정보 감사합니다.

2017.04.09 19:18
가입일:
총 게시물수: 0
총 댓글수: 375

감사합니다.

2017.09.02 15:17
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

읽음요

2017.09.28 13:53
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

좋은 정보 감사합니다.

List of Articles

보안 게시판 신설 + 8	Op 2016-10-16 607
No Image 보안 소식 [KISA]신종 Google Docs 피싱사고에 대한 구글 대응 작성자: Soundofsol 등록일: 2017-05-20	200 VIEWS 13 COMMENTED
보안 소식 중국의 정보탈취 해킹 그룹 APT10, 기지개를 펴다 작성자: ordo 등록일: 2017-04-10	200 VIEWS 7 COMMENTED
보안 소식 `AI 해커` 대비 해킹방어훈련 플랫폼 개발한다 작성자: j1159 등록일: 2017-02-21	200 VIEWS 7 COMMENTED
No Image 일반 백트랙을 활용한 모의해킹 강의 05 - 백트랙 환경 설치 작성자: 매니안 등록일: 2016-10-17	200 VIEWS 5 COMMENTED
No Image 일반 백트랙을 활용한 모의해킹 강의 02 - 모의해킹의 범위 작성자: 매니안 등록일: 2016-10-17	200 VIEWS 6 COMMENTED
보안 소식 인터넷 팝업 광고창에 피싱 페이지 노출…사용자 페이스북 계정 정보 탈취 시도 작성자: 부니기 등록일: 2019-02-22	197 VIEWS
No Image 바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 PUP/Win32.GoodsFind.C1905968 작성자: ordo 등록일: 2017-04-09	197 VIEWS 5 COMMENTED
No Image 보안 소식 막오른 5G장비 대전… 관건은 `보안이슈` 작성자: 티오피 등록일: 2018-08-15	196 VIEWS
보안 소식 에퀴팩스 피해자 수, 1억 4,450만 명으로 늘어 작성자: 따봉 등록일: 2017-10-19	196 VIEWS 5 COMMENTED
일반 4차 산업혁명, 인텔리전스 보안은 선택이 아닌 필수다 작성자: ordo 등록일: 2017-05-01	195 VIEWS 7 COMMENTED
보안 소식 이번엔 '매트릭스' 랜섬웨어 …"4일 후엔 복구 불가"협박 작성자: 크로커스 등록일: 2017-07-07	194 VIEWS 9 COMMENTED
No Image 보안 자료 글로벌 칼럼 \| "NIST 지침과는 무관한" 최고의 비밀번호 조언 작성자: 루시드림 등록일: 2019-03-11	193 VIEWS
보안 소식 구글 서비스 위장한 스파이앱, 기업 임직원 노린다 작성자: 따봉 등록일: 2017-01-04	191 VIEWS 6 COMMENTED
보안 소식 미국 대통령 ‘트럼프’ 랜섬웨어 등장 작성자: 크로커스 등록일: 2017-02-24	189 VIEWS 9 COMMENTED
No Image 보안 소식 '좀비 군단'으로 변하는 IoT 기기, 보안은? 작성자: Op 등록일: 2016-11-12	189 VIEWS 9 COMMENTED
보안 소식 Your data is a hostage, 과감히 실체를 드러내는 랜섬웨어 작성자: 티오피 등록일: 2017-09-26	187 VIEWS 6 COMMENTED
보안 소식 패치 되지 않은 마이크로소프트 DDE 익스플로잇, 광범위한 악성코드 공격에 사용 돼 작성자: 티오피 등록일: 2017-10-24	186 VIEWS 4 COMMENTED
보안 소식 잠시 주춤한가 싶더니... 이미지 도용 위장 갠드크랩 활동 재개 작성자: 티오피 등록일: 2018-09-15	185 VIEWS
보안 소식 보안업계로 확대되는 구글 제국 영향력 작성자: 티오피 등록일: 2018-08-31	185 VIEWS 1 COMMENTED
보안 소식 마인크래프트 스킨 앱에서 신종 멀웨어 ‘삭봇’ 발견 작성자: 따봉 등록일: 2017-10-19	185 VIEWS 5 COMMENTED
No Image 보안 소식 도로명불명 사칭 스미싱 주의 작성자: j1159 등록일: 2017-03-27	185 VIEWS 7 COMMENTED
보안 소식 북한 추정 공격그룹의 8월 작전명은 ‘로켓맨’ 작성자: 티오피 등록일: 2018-08-27	184 VIEWS 1 COMMENTED
보안 소식 '인증서 발급대행 권한' 회수 파장...구글-시만텍-한국전자인증, 무슨 일 있었나? 작성자: 크로커스 등록일: 2017-04-01	184 VIEWS 9 COMMENTED
No Image 바이러스 DNS 쿼리를 이용해 명령어를 주고받는 파일리스 악성코드 작성자: j1159 등록일: 2017-03-22	184 VIEWS 7 COMMENTED
보안 소식 "거액 인출 이상해" 은행원 기지로 보이스피싱 막아 작성자: j1159 등록일: 2017-03-27	181 VIEWS 7 COMMENTED