Trojan:Win32/Kovter

Trojan:Win32/Kovter

Kovter는 감염 후 file-less 방식으로 동작하도록 설계된 멀웨어. 트로젠이라 스스로 감염 시킬 수 없으므로 click fraud를 유도함.

트로젠은 스스로 퍼질 수 없는 멀웨어를 말함. 사용자의 실수에 의존함(악성 웹사이트에 방문한다던지.. )

감염 후 정보 탈취, 다른 악성코드 다운, pc 접근권을 준다던지 등의 각종 악성행위를 수행함.

microsoft security blog를 참조해 정리하자.

1. 랜덤한 확장자 등록 (백신 탐지를 어렵게 하기 위해)

랜덤한 확장자를 레지스트리에 등록하고, 해당 확장자 파일을 open 시 확장자\shell\open\command 에 등록된 명령이 실행된다.

내용은 클린 파일인 mshta을 이용하여 자바스크립트를 실행시키는 것인데, 내용을 보면 또 다른 레지스트리에서 읽어와서 eval()로 실행시키는 것을 볼 수 있다. 즉, 메인 페이로드가 exe 파일이 아닌 레지스트리에 담겨 있다는 소리!! (file-less!)

악성 페이로드는 파일이 아닌 레지스트리에 담겨있다. 하지만 새로운 확장자를 등록하고 새로운 확장자를 가진 파일을 open 시 open verb가 동작하면서 주요 자바스크립트가 동작하는 방식이므로,

1. 새로운 확장자를 가진 파일이 있어야 한다.

(파일 안의 내용은 아~~무런 상관이 없다. 단지 해당 확장자를 가진 파일의 실행이 필요할 뿐)

2. 새로운 확장자를 가진 파일이 실행 되어야 한다.

따라서 다음과 같은 쓰레기 파일들을 생성한다.

(새로 등록한 확장자이기만 하면 됨. 내용은 상관없음)

그리고 자동실행 경로에 새로운 확장자를 가진 쓰레기 파일을 등록시킨다.

==>

1. 컴퓨터를 켤 때마다 특정 확장자를 가진 쓰레기 파일을 열음.

2. 특정 확장자의 open verb가 실행됨. (자바스크립트 동작)

3. 자바스크립트를 통해 다른 레지스트리에 등록된 메인 페이로드를 읽어와 eval()로 실행함

==>

메인 페이로드는 레지스트리에 두긴 하지만, 특정 확장자를 가진 '파일'이 필요함

따라서 완전한 파일리스 악성코드는 아님.