APT 탐지 룰 (SK해킹관련)

commandfive 라는 회사에서 SK 개인정보유출과 관련된 APT 악성코드를 분석하였다.

http://www.commandfive.com/papers/C5_APT_C2InTheFifthDomain.pdf

얘들은 어찌알고 이런걸 만들었을꼬……

탐지룰은 다음과 같다. (룰의 IP는 $HOME_NET등의 변수를 사용하는 것이 더 정확할 수 있다.)

alert tcp any any -> any any (msg:”APT LURK protocol communication”; content:”LURK0″; nocase; offset:0; depth:5;)
alert tcp any any -> any any (msg:”APT X-Shell C601 protocol communication”; content:”|00000000|C601″; nocase; offset:12; depth:8;)
alert tcp any any -> any any (msg:”APT IP2B protocol communication”; content:”|1234567810001000|”; offset:0; depth:8; content:”|0000000018090620|”; distance:4; within:8;)
alert tcp any any -> any any (msg:”APT QDIGIT protocol communication”; content:”Q19|2100|”; nocase; offset:0; depth:5;)

아래 3가지 룰은 HTTP 헤더에 관련된 것인데 이것이 꼭 80번 포트를 사용하지 않으므로 any로 한다.

단 더 정확히는, 아래 탐지룰과 관련된 패킷들은 POST메소드가 존재해야 한다.

alert tcp any any -> any any (msg:”APT custom http header 1″; content:”|0d0a|X-Session|3a20|”; nocase; content:”|0d0a|X-Status|3a20|”; nocase; content:”|0d0a|X-Size|3a20|”; nocase; content:”|0d0a|X-Sn|3a20|”; nocase;)
alert tcp any any -> any any (msg:”APT custom http header 2″; content:”|0d0a|Extra-Data-Bind|3a20|”; nocase; content:”|0d0a|Extra-Data-Space|3a20|”; nocase; content:”|0d0a|Extra-Data|3a20|”; nocase;)
alert tcp any any -> any any (msg:”APT malformed http User-Agent”; content:”|0d0a|User-Agent|3a20|Mozilla/4.0 (compatible|3b| MSIE 6.0|3b| Windows NT 5.1|3b|SV1|3b|”; nocase;)

Advertisements

About this entry