도박 조직에서 사용하고 있는 것으로 판단되는 RAT에서 Zhang Bin이라는 디지털 서명이 확인되었다.



해당 RAT는 StartServiceCtrlDisPatcherA의 인자값인 lpServiceTable에서 lpServiceFunc이 실행되는지를 확인한다. 만일 성공적으로 lpServiceFunc가 실행이 된다면 실행이 되는거고, 그렇지 않은 경우에는 C:\Program Files\ 경로에 auto.com이라는 이름으로 Copy한 뒤에 Yabcde Ghijklmn Pqr이라는 서비스명으로 생성 및 실행한다. 서비스 생성 직후 C드라이브에 WScript 파일을 생성하여 해당 파일을 삭제 한다.






서비스 내용은 StartServiceCtrlDisPatcherA 쪽의 lpServiceTable에서 lpServiceFunc으로 넘어가야 되는데 바빠서.... 여기까지...


Posted by Ec0nomist

댓글을 달아 주세요