Notice
Recent Posts
Recent Comments
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- error fix
- Ransomware
- 포인터 매핑
- NumPy Unicode Error
- idb2pat
- data distribution
- idapython
- ecma
- x64
- ida pro
- Injection
- svn update
- Python
- malware
- h5py.File
- open office xml
- javascript
- Rat
- why error
- mock.patch
- TensorFlow
- pytest
- debugging
- error
- ida
- MySQL
- hex-rays
- Analysis
- idapro
- commandline
Archives
- Today
- Total
13 Security Lab
[bot] 국내 RAT 한우툴 150118 분석 본문
md5 : 9ee9aa1537907f63d8350cc294ab7e6b
해당 파일은 Bot류로서 다음과 같은 기능이 있음
서비스거부공격(DOS, Denial of Service)
- TCP Data Flood
- TCP Rnd Flood
- TCP Pck Flood
- TCP Connect Flood
- SYN Flood
- HTTP Flood
- ES Flood
C&C의 경우 아래 네이버 블로그 URL 에서 명령을 받아오는 것으로 판단되나, 현재 해당 블로그는 차단된 상태
"http://blog.naver.com/PostView.nhn?blogId=windowupdate&logNo=150110424974&parentCategoryNo=1&viewDate=¤tPage=1&listtype=0&userTopListOpen=false&userTopListCount=5&userTopListManageOpen=false&userTopListCurrentPage=undefined"
보안제품을 체크하는 루틴이 있으며 아래 모듈을 확인함
V3LSvc.exe : V3
AYRTSrv.aye : 알약
또한, 내부에 추가 PE다운로드 루틴이 있으며, URL은 다음과 같다.
- http://nnvava12.dothome.co.kr/uolsn.dll
+ 확인결과 위 파일은 '한우툴' 이라는 국내 제작 RAT의 모듈로서 키로깅, ddos 등의 기능을 갖고 있음
+ bot 파일에 대해서 '서버파일' '섭파'라는 이름으로도 불리는 듯..
Comments