□ CCleaner 프로그램이 변조되어 배포된 정황을 포착, 해당 프로그램 사용자는 확인 후 보안조치 필요
□ 해당 소프트웨어
- 변조 버전 : CCleaner 5.33.6162(윈도우 32비트), CCleaner Cloud 1.07.3191(윈도우 32비트)
- 변조 및 배포시점 : 2017.8.15 ~ 9.12
□ 동작 특이사항
- 배포 프로그램을 변조하여 XOR 기반 난독화를 통해 쉘코드를 은닉하고 관리자 권한으로 실행시 악성기능 동작
- 악성기능 동작시 C&C서버로 감염단말의 정보를 전송하고, 추가 악성코드를 다운로드하여 실행하도록 구성
(하드코딩된 C&C서버에 접속실패하는 경우 DGA(Domain Generation Algorithm)에 의해 생성된 도메인에 접근 시도)
□ 생성된 도메인 정보와 C&C 서버 정보
- ab6d54340c1a.com - aba9a949bc1d.com - ab2da3d400c20.com - ab3520430c23.com - ab1c403220c27.com - ab1abad1d0c2a.com - ab8cee60c2d.com - ab1145b758c30.com - ab890e964c34.com - ab3d685a0c37.com - ab70a139cc3a.com
- C&C IP (216.126.225.148)
上記 내용으로 피해가 발생하거나, 수신이 확인되면 즉시 교육부 사이버안전센터로 신고 바랍니다. (053-714-0777, cert1@ecsc.go.kr)
|