Artemis 멀웨어 관련 이슈

최근 활발하게 활동하고 있는 멀웨어인 Artemis.A_43 에 대한 포스팅입니다.
Artemis 멀웨어는 로그인 세부 정보, 암호와 같은 컴퓨터의 기밀정보를 수집하고,
재무정보는 C&C 서버에 전송하는 멀웨어 입니다.

Artemis 멀웨어의 감염경로는 다음과 같습니다.

먼저 다음의 파일을 시스템에 추가합니다.
•%Userprofile% \ Local Settings \ Temp \ bWJgVKbnTS6wTt4QCOE6hTQ9fb1Sv1yGIXx.exe
•%Userprofile% \ Local Settings \ Temp \ Trojan.exe
•%Userprofile% \ Local Settings \ Temp \ Trojan.exe.tmp (Trojan.exe.tmp : 키 로그 데이터)

그 다음 Artemis 멀웨어는 Windows 레지스트리에 다음의 키를 추가하여
시작중에 트로이 목마가 실행되는지 확인합니다.
•HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ 5cd8f17f4086744065eb0992a09e05a2
"% Userprofile % \ Local Settings \ Temp \ Trojan.exe"
•HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ 5cd8f17f4086744065eb0992a09e05a2
"% Userprofile % \ Local Settings \ Temp \ Trojan.exe"

컴퓨터가 손상되면 멀웨어는 자체 실행파일을 Userprofile 폴더에 복사합니다.

이러한 멀웨어의 목표는 가능한 많은 데이터를 수집하는것 입니다.
원격 공격자의 손에 들어가는 사용자에 대한 세부 정보가 많을수록 잠재적 이익이 커집니다.
악성코드는 사용자가 방문한 실행중인 프로세스 및 웹사이트의 목록을 검색하여 Base64 형식으로
자체 C&C서버에 보냅니다.

멀웨어는 대상 컴퓨터에 주요 로거를 설치하고, 데이터를 Trojan.exe.tmp 파일에 저장합니다.
예로는 다음과 같습니다.

멀웨어는 다음과 같은 데이터를 수집합니다.
- 컴퓨터 이름
- 사용자 이름
- 날짜
- Windows 버전

Artemis의 1177 포트를 통해 통신하는 C&C 트래픽에 대한 내용은 다음과 같습니다.

멀웨어는 다음과 같은 형식으로 자신의 C&C 서버에 컴퓨터 정보를 보내게 됩니다.

이러한 멀웨어의 피해를 최소화 하기위해 우선적으로 해야할 일은
첫째, 사용하고 있는 PC의 윈도우 및 백신 프로그램을 최신버전으로 업그레이드 해야합니다.
둘째, C&C 서버로 보내지는것을 차단하기 위해 사내에서 사용하는 방화벽, 네트워크 구간에서 차단하면
피해를 최소화 할 수 있습니다.
셋째, 윈도우 백업을 주기적으로 해주어야 합니다.

이번에는 Artemis 멀웨어 관련 이슈를 올려드렸습니다.
다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.