3월 20일 KISA에서 DNS 쿼리를 이용해 명령어를 주고받는 파일리스 악성코드가 발견되었다고 발표한 바 있다.
해당 악성코드가 감염될 경우 DNS TXT레코드를 이용해 명령을 주고 받도록 설계되어 있어 데이타 유출 및 C&C연결이 가능한 부분이 존재한다.
또한, 내부망(사내망)에서 외부 DNS값으로 질의(UDP 53)를 하는 방식이므로 기존 보안장비가 집중하지 않는 DNS 트래픽 부분을 악용한 공격으로 DNS 트래픽에 대한 모니터링이 필요하다.
DNS Messenger
: https://www.reverse.it/sample/340795d1f2c2bdab1f2382188a7b5c838e0a79d3f059d2db9eb274b0205f6981?environmentId=100
※ 실 악성코드이므로 관리에 대해 각별히 유의해야하며 교육목적으로 사용하시기 바랍니다.
악성코드 분석 자료
: http://blog.talosintelligence.com/2017/03/dnsmessenger.html#more
Dns Covert Channel(POC)_With IPS_2017.04.14.pdf
'ETC' 카테고리의 다른 글
| 악성코드 분석_Black Energy (0) | 2017.06.29 |
|---|---|
| [주의] 성인 사이트 접속만으로 악성코드(ZeusBot) 감염 (0) | 2017.05.08 |
| 랜섬웨어(Lokcy)_DLL_최초_변종_16.09.08 (0) | 2017.04.27 |
| CrackME 문제 & 루틴분석 (0) | 2017.01.29 |
| ActiveX 디버깅(ollydbg) (0) | 2017.01.16 |
