1. /
  2. 보안 연구소/
  3. Trojan.Sasfis
  4. Trojan.Sasfis
  • 추가

Trojan.Sasfis

위험 수준1: 매우 낮음

발견됨:
2010년 2월 2일
업데이트됨:
2013년 7월 11일 7:58:16 AM
다른 이름:
W32/Oficla.AE [F-Secure], Backdoor.Win32.Bredavi.he [Kaspersky], Trojan.Win32.Agent.daec [Kaspersky]
유형:
Trojan
감염 부분 크기:
19,456바이트
영향을 받는 시스템:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
1. 예방 및 방지 1.1 사용자 동작 및 사전 주의 사항 1.2 .zip 파일이 첨부된 이메일 차단 2. 감염 방법 2.1 스팸 이메일 2.2 드라이브 바이 다운로드(Drive-by Download) 3. 기능 3.1 시스템 수정 3.2 네트워크 작업 3.3 제휴 체계 4. 추가 정보 1. 예방 및 방지 이 위협 요소가 초래하는 위험을 방지하거나 최소화하기 위해 다음 작업을 수행할 수 있습니다. 1.1 사용자 동작 및 사전 주의 사항 방화벽이나 IDS를 사용하면 원격 클라이언트 응용 프로그램과의 백도어 서버 통신을 차단하거나 탐지할 수 있습니다. 사용자는 알려지거나 알 수 없는 출처에서 발송된 원치 않는 이메일에 주의해야 합니다. 이러한 이메일이 추적 번호를 포함하거나 변경 로그를 설명하거나 요금 명세서를 제공하거나 첨부 파일을 열도록 요청하는 경우 특히 주의해야 합니다. 1.2 .zip 파일이 첨부된 이메일 차단 Trojan.Sasfis는 .zip 확장자를 가진 첨부 파일로 시스템에 수신될 수 있습니다. 이러한 .zip 파일에는 대개 실행 파일이 포함되어 있습니다. 이 트로이 목마는 사용자가 첨부 파일의 압축을 풀고 실행해야만 실행됩니다. 따라서 사용자가 해당 파일 형식을 열지 않음으로써 쉽게 이 트로이 목마(그리고 다른 멀웨어)을 차단할 수 있습니다. 감염 위험을 줄이기 위해 .exe 및 .zip 파일과 같은 특정 형식의 첨부 파일이 포함된 이메일을 차단하도록 이메일 게이트웨어를 구성할 수 있습니다. 2. 감염 방법 Trojan.Sasfis는 대개 다음 방법 중 하나로 시스템에 수신됩니다. 스팸 이메일드라이브 바이 다운로드(Drive-by Download) 이 위협 요소가 이러한 기법을 어떻게 사용하는 지에 대한 자세한 내용은 다음 섹션에 나와 있습니다. 2.1 스팸 이메일 이 트로이 목마는 스팸 이메일의 첨부 파일로 시스템에 수신되는 경우가 가장 많습니다. 스팸 이메일은 크기가 크고 내용이 자주 변경되고 업데이트됩니다. 이 위협 요소의 복제본을 포함하는 이메일 유형의 대표적인 예는 다음과 같습니다. 제목 Your log [DATE] 이메일 본문 Good afternoon, as promised your changelog is attached, Vince 첨부 파일 Changelog_[DATE].zip https://srcm.symantec.com/FileGateway.aspx?type=image&guid=91c275f3-e731-4b38-ad28-21aa0fcda874 또는 제목 Changelog [DATE] 이메일 본문 Dear ladies and gentlemen, as promised, Amos 첨부 파일 Changelog_[DATE].PDF.zip https://srcm.symantec.com/FileGateway.aspx?type=image&guid=22ea512d-b626-4750-9e14-a5942098c318 또는 제목 Your fees 2010 이메일 본문 Please find attached a statement of fees as requested, this will be posted today. The accommodation is dealt with by another section and I have passed your request on to them today. Kind regards. 첨부 파일 Fees_2010.zip https://srcm.symantec.com/FileGateway.aspx?type=image&guid=964ba0f1-b397-419d-a3f6-f0ccd99d56bb 기타 알려진 첨부 파일 Amazon_Tracking_Number_N[RANDOM NUMBER][MANY SPACE CHARACTERS].DOC.exeiTunes_certificate[RANDOM NUMBER].exe .zip 파일에는 대개 위협 요소의 복제본인 다른 파일이 포함되어 있습니다. 이 파일은 처음에는 합법적 파일로 보일 수 있지만 합법적 아이콘과 이중 파일 확장자를 사용한 위장에 불과합니다. 예를 들어 파일 확장자를 숨기도록 구성된 시스템에서 Fees_2010.DOC.exe 파일은 Fees_2010.DOC로 나타납니다. 이는 의심하지 않는 사용자에게 실행 파일의 실제 확장자를 숨기기 위해 멀웨어에 자주 사용되는 속임수입니다. https://srcm.symantec.com/FileGateway.aspx?type=image&guid=c7d71a53-b4dc-4590-91ab-cb3de0642787 실행 파일은 압축되며 위협 요소의 변종은 대개 원래 파일이 재압축되어서 안티바이러스 소프트웨어의 탐지를 피하려 합니다. 2.2 드라이브 바이 다운로드(Drive-By Download) Trojan.Vundo는 웹 브라우저 및 관련 플러그인의 알려진 취약점을 악용하는 웹 사이트를 통해 확산되는 것으로 알려져 있습니다. 이러한 악용은 시중에서 구할 수 있는 악용 키트에 의해 제공되는 경우가 많으므로 높은 기술력을 가진 개인이 이를 조작할 필요는 없습니다. 모듈식으로 설계된 이들 키트가 사용하는 악용은 다양합니다. 즉, 공격자가 구매할 수 있게 되면 자신의 웹 사이트에 대한 새 악용을 구매할 수 있습니다. 드라이브 바이 다운로드(Drive-By-Download)는 악용을 포함하도록 조작된 웹 사이트를 사용자가 방문할 때 발생할 수 있습니다. 악용은 사용자의 동의 없이 사용자 시스템에 멀웨어가 다운로드되도록 합니다. 이 트로이 목마는 이 방법으로 다음 위치에서 시스템으로 다운로드되는 것으로 나타났습니다. http://asusmac.org/original/s.phphttp://gruzakk.com/full/bb.phphttp://webauc.ru/mydog/bb.php 또한 이 방법에서는 성공 확률을 높이기 위해 다음 기술을 대상으로 둘 이상의 악용을 사용합니다. ActiveXDirectShowFlashPDF Snapshotviewer 또한 대상 시스템을 성공적으로 손상시킬 때까지 여러 악용으로 폭격하는 것이 일반적입니다. 이 과정에서 공격자는 모든 수단을 동원해서 시스템에 침투하겠다는 의지를 보입니다. 3. 기능 이 트로이 목마가 실행되면 손상된 시스템에 Microsoft Word가 설치되어 있는지 확인합니다. 설치되어 있으면 VBA 스크립트가 포함된 .tmp 파일을 열고 실행합니다. 자신을 합법적 응용 프로그램으로 위장하기 위해 Trojan.Sasfis는 다음의 일반 프로세스에 자신을 삽입하여 방화벽을 우회할 수 있습니다. iexplore.exesvchost.exe 이 트로이 목마가 시스템에 성공적으로 설치되면 백도어를 엽니다. 그런 다음 명령 제어 서버(C&C)에서 명령을 수신하여 시스템에서 다양한 작업을 수행합니다. 주로 Trojan.Sasfis는 시스템에 추가 파일을 다운로드합니다. 이 트로이 목마가 파일을 다운로드하는 URL 위치는 다음 레지스트리 하위 키에 저장됩니다. HKEY_CLASSES_ROOT\idid 이 트로이 목마는 "url[NUMBER]"라는 레지스트리 항목을 생성하며, 여기서 [NUMBER]는 "1", "2", "3", "4" 등입니다. 16진수 문자열을 가리키며 암호를 해독하면 웹 사이트 주소입니다. 이 주소는 추가 멀웨어, 트로이 목마 자신의 업데이트, 시스템에 다운로드된 다른 멀웨어의 업데이트를 호스팅하는 서버를 가리킬 수 있습니다. 예: HKEY_CLASSES_ROOT\idid\"url2" = "68 74 74 70 3A 2F 2F 6F 70 74 2D 6F 75 74 2D 6C 69 73 74 2E 6F 72 67 2F 66 75 6C 6C 2F 62 62 2E 70 68 70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 8C E6 07 00 6C E6 07 00 00 00 00 00 48 E7 07 00 9C E6 07 00 7C E6 07 00 A4 67 91 7C D4 E6 07 00 00 00 00 00 18 00 1A 00 EC E7 07 00 74 C1 97 7C 00 00 00 00 AC E6 07 00 00 00 02 00 A0 E6 07 00 A0 E6" 참고: 관련 위협 요소가 유발하는 부작용은 이 보고서에 포함되어 있지 않습니다. 3.1 시스템 수정 이 위협 요소 계열에 의해 손상된 시스템에서 관찰되는 부작용은 다음과 같습니다. 생성된 파일/폴더 %Temp%\1.tmp%System%\[RANDOMLY NAMED FILE] 참고: [RANDOMLY NAMED FILE]은 파일 이름 변수입니다. 임의의 4자 파일 이름과 임의의 3자 파일 확장자로 이루어집니다. 삭제된 파일/폴더 원래 실행 파일을 삭제합니다. 수정된 파일/폴더 없음 생성된 레지스트리 하위 키 HKEY_CLASSES_ROOT\idid 삭제된 레지스트리 하위 키/항목 없음 수정된 레지스트리 하위 키/항목(최종 값 지정) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = " Explorer.exe rundll32.exe %System%\[RANDOMLY NAMED FILE] [FIVE OR SIX RANDOM CHARACTERS]" HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\"AccessVBOM" = "1" 프로세스 다음 프로세스에 자신을 삽입할 수 있습니다. iexplore.exesvchost.exe 3.2 네트워크 작업 Trojan.Sasfis는 백도어를 엽니다. 그런 다음 손상된 시스템에 추가 파일을 다운로드하라는 명령을 수신할 수 있습니다. 이 위협 요소는 다음 네트워크 작업을 수행할 수 있습니다. 다운로드 다음 위치에서 손상된 시스템으로 다른 파일과 업데이트를 다운로드할 수 있습니다. http://newscriptbase.com/full/bb.phphttp://opt-out-list.org/full/bb.phphttp://truwebstart.com/full/bb.php193.104.27.91 3.3 제휴 체계 이 트로이 목마는 Antimalware Doctor와Adware.PurityScanhttp://www.symantec.com/ko/kr/security_response/writeup.jsp?docid=2003-090516-2325-99 등 다양한 보안 위험 요소를 손상된 시스템에 다운로드합니다. 즉, Trojan.Sasfis의 작성자가 일부 제휴 체계에 참가하여 특정 오보 응용 프로그램 공급업체에 PPI(Pay-Per-Install)http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/pay_per_install.pdf 배포 서비스를 제공하고 그 과정에서 수수료를 버는 것일 수 있습니다. https://srcm.symantec.com/FileGateway.aspx?type=image&guid=e82e4055-a70c-4721-920b-62007c7c0bf6 4. 추가 정보 이 위협 요소 계열과 관련된 자세한 내용은 다음 리소스를 참조하십시오. Blogs on Trojan.Sasfis(영문)http://www.symantec.com/connect/blog-tags/trojansasfis

권장 사항

시만텍 보안 연구소는 모든 사용자와 관리자가 다음과 같은 최선의 기본 보안 원칙을 준수할 것을 권장합니다.

  • 불필요한 서비스는 종료하고 제거하십시오. 많은 운영 체제가 FTP 서버, 텔넷, 웹 서버와 같이 중요하지 않은 보조 서비스를 기본적으로 설치합니다. 이러한 서비스는 공격의 수단으로 이용됩니다. 이러한 서비스를 제거하면 복합적인 위협의 공격 수단이 줄어들고 패치 업데이트를 통해 관리해야 하는 서비스가 적어집니다.
  • 복합적인 위협이 네트워크 서비스에 침입한 경우 패치를 적용할 때까지 해당 서비스의 실행을 중지하거나 액세스를 차단하십시오.
  • 패치를 항상 최신 버전으로 유지하십시오. 특히 공용 서비스를 호스팅하고 HTTP, FTP, 메일, DNS 서비스와 같이 방화벽을 거쳐 액세스하는 컴퓨터를 최신 상태로 관리해야 합니다. 예를 들어, 모든 Windows 기반 컴퓨터에는 최신 서비스 팩이 설치되어 있어야 합니다. 또한 이 보고서나 신뢰할 수 있는 보안 게시판 또는 공급업체 웹 사이트에서 제공하는 보안 업데이트를 적용하십시오.
  • 암호 정책을 실행하십시오. 컴퓨터가 위험에 노출되더라도 복잡한 암호를 사용하면 암호 파일의 해독을 막을 수 있습니다. 따라서 컴퓨터가 감염된 경우 피해를 방지하거나 최소화할 수 있습니다.
  • .vbs, .bat, .exe, .pif .scr 파일 등 주로 바이러스를 확산시키는 데 사용되는 첨부 파일이 있는 경우 이메일을 차단하거나 제거하도록 이메일 서버를 구성하십시오.
  • 감염된 컴퓨터를 신속하게 격리하여 추가 손상을 방지하십시오. 사후 분석을 실시하고 신뢰할 수 있는 미디어를 사용하여 컴퓨터를 복원하십시오.
  • 내용을 알 수 없는 첨부 파일을 받은 경우 직원들이 이러한 파일을 열지 않도록 하십시오. 인터넷에서 소프트웨어를 다운로드했을 때 바이러스 검사를 거치지 않은 경우 이 소프트웨어를 실행하지 마십시오. 특정 브라우저 취약점이 보안되지 않은 경우 위험에 노출된 웹 사이트를 방문하기만 해도 감염될 수 있습니다.
작성자:Éamonn Young and Eoin Ward
요약| 기술적 세부 사항| 제거
ISTR V16