7777.exe(FDD9CDE9E22097ADDA3F947D83E06A2B) 디도스 악성코드

최근(’12.12.26), 7777.exe(FDD9CDE9E22097ADDA3F947D83E06A2B) 디도스 악성코드는  FSG2.0으로 패킹되어 있으며, 숙주서버는 7777.infopo????.com:7777이며, 미국에 위치하고 있음.

svchost.exe 프로세스에 악성코드를 인젝션하는 방식으로 동작으로 하고 있으며, 이전에 포스팅한 9999.exe와 동일한 디도스 공격 패턴을 갖고 있음.

1

FSG 2.0 패커의 정형적인 모습

2

004001D1에서 OEP로 점프하는 코드… 이것도 정형적인 FSG2.0의 패턴

3

ImportREC에서 기본적으로 잡아주는 Size를사용하면 IAT 복원이 실패하기 때문에 충분히 큰 사이즈를 잡고 GetImports를 함..  Invalid에 대해서 Cut하여 제거 함. 4

언패킹 이후, IDA의 Hex-Ray로 디도스 공격 관련 코드 확인. 기존의 HTTPGetFlood 경우에는 HTTP포트로 커넥션 맺은 후 일방적으로 GET Request  패킷을 전송하는 방식이였다면, webdownfileflood 경우에는 GET Request 이후 Response 패킷까지 수신(recv)받는 형태 임…

이런 공격에는 인라인 방식으로 프록시 역할을 해줄 수 있는 몸빵하는 장비로 방어하는 것이 최선으로 보임..

6

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: