본문 바로가기
SMB 전파기능의 Lemon_Duck 악성코드 유포 ASEC 분석팀은 레몬덕(Lemon_Duck)이라 불리는 파워쉘 악성코드가 국내에서 유포된 것을 확인하였다. 이 악성코드는 복잡한 과정을 거쳐 다양한 중간 악성 파워쉘을 통해 감염되며 SMB(Server Message Block) 취약점(MS17-010), RDP 무차별 대입 공격 등 다양한 공격 기법을 이용해 동일한 네트워크 상에 연결된 시스템에 확산된다. [그림 1]과 레몬덕 악성코드의 동작 과정을 구조화한 것이고, [표 1]은 공격 단계별 악성코드의 정보를 요약한 것이다. 구체적으로 살펴보면, 조직 내부 유입 후 SMB 취약점에 의해 서비스가 실행되어 작업 스케줄러에 파워쉘 명령을 등록한다. 이렇게 등록된 파워쉘 명령이 파워쉘 스크립트(Powershell_1)를 다운로드 및 실행한다. 이 파워쉘 스.. 2019. 12. 3.
NEMTY 랜섬웨어 v2.2 국내발견!! 2019년 12월 02일 ASEC 분석팀은 NEMTY 랜섬웨어 버전이 2.0에서 2.2로 업데이트 되어 유포된 것을 발견하였다. '이력서' 또는 '부당 전자상거래 위반행위 안내' 로 위장한 유포방식을 포함해 감염제외 국가, 감염 대상, 감염 제외 파일, 폴더 모두 기존 NEMTY REVENGE 2.0과 동일하다. [유포 파일명] \강주경\이력서\포트폴리오.hwp.exe \강주경\이력서\이력서.hwp.exe \이시우\___\___.hwp.exe \장민우\___\___.hwp.exe 기존 버전과 달라진 점은 아래와 같이 뮤텍스 이름이 변경되었다. NEMTY 2.0 뮤텍스 이름: just_a_game NEMTY 2.2 뮤텍스 이름: just_a_little_game 2019.11.20 PDF 문서로 위장하여 .. 2019. 12. 2.
[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록) 안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다. 2019.11.18 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 .. 2019. 11. 22.
GandCrab, Nemty에 이어 동일 외형의 DEATHRansom 국내 발견 2019년 11월 20일 안랩 ASEC 분석팀은 국내에 유포된 DEATHRansom이라는 새로운 랜섬웨어를 발견하였다. 해당 랜섬웨어는 GandCrab, BlueCrab(=Sodinokibi), Nemty와 동일한 패커를 사용하고 있다. 이 패커(Packer)는 작년에 활발히 유포한 GandCrab부터 BlueCrab과 2019년 9월에 발견 된 Nemty 랜섬웨어, 이번에 발견된 DEATHRansom 까지 다양한 랜섬웨어에 사용되고 있다. 이러한 패커형태는 랜섬웨어 뿐만 아니라 사용자 정보탈취 악성코드와 암호화폐 채굴형 악성코드까지 다양하게 사용하고 있어 사용자의 주의가 필요하다. DEATHRanom 랜섬웨어는 아래 폴더와 파일을 제외하고 모두 감염 대상이다. 감염 후 확장자 변경은 하지 않고, 감염을.. 2019. 11. 21.
PDF 문서로 위장하여 유포중인 NEMTY2.0 랜섬웨어 2019년 11월 20일 안랩 ASEC 분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 PDF 파일로 위장하여 국내 사용자를 대상으로 유포되고 있는 것을 확인하였다. 해당 랜섬웨어는 과거 워드(DOC)와 한글(HWP) 문서 파일로 위장하여 유포되었던 이력이 존재한다. [그림 1] 과 같이 아이콘 및 파일명을 통해 pdf 문서처럼 보이도록 위장한 것을 확인할 수 있다. 하지만 [그림 2] 와 같이 .pdf 문자열 뒤 긴 공백 끝에 .exe 확장자가 숨겨져있어 사용자가 PDF 문서로 속아 실행하게 되면 랜섬웨어에 감염되게 된다. 2019.11.12 입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe) 입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe.. 2019. 11. 20.
'한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 입후보신청서" 제목의 악성 한글문서가 유포된 것을 확인하였다. 한글문서의 내용은 아래와 같고, 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 구조이다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 제 9대 학회장 선거공고 및 입후보신청서.hwp (추정) MD5: e232ee98e0777fe589f600aa6e62d967 SHA256: 72fd996d651baaad444ac7664b39f66e1eb030a924fe3544ff7c7d80dff768ea 악성 EPS 파일이 존재하는 곳은 첫번째 페이지로 아래의 그림에서 붉은색 표시부분으로 일반 사용자가 알 수 없는 형태로 그림개체가 추.. 2019. 11. 18.
포털 사이트의 보안 프로그램으로 위장한 악성코드 주의 안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다. [지능형 지속 공격(Advanced Persistent Threat, APT)] 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다. 피싱 페이지는 접속한 웹 브라우저의 사용자 에이전트(User-Agent)에 따라 PC 버전과 모바일 버전으로 출력되며 공격 대상에게 보안 프로그램 또는 앱으로 위장한 악성코드의 다운로드를 유도한다. [피싱(Phishing)] 교묘하게 만들어낸 가짜정보를 미끼로 피해자의 정보를 탈취하는 공격 [User-Agent] [다운로드 파일] Wind.. 2019. 11. 18.
코드 상의 특징을 통해 살펴본 2가지 공격그룹 (한글문서 취약점) 안랩 ASEC 분석팀은 한글 EPS 취약점(CVE-2017-8291)을 이용하는 악성코드에서 쉘코드(ShellCode)를 실행하기 위한 전 단계에서 제작자 실수로 추정되는 코드상의 오류가 확인되었다. 전체 악성코드 동작에는 영향이 없지만, 이러한 코드상의 실수가 2018년부터 최근 한글 문서 악성코드에서도 지속적으로 발견되고 있다. 또한, 이러한 코드상의 실수가 없는 형태도 함께 발견되고 있는 점을 볼 때, 코드상의 특징을 바탕으로 제작자를 2개의 그룹으로 분류할 수 있다. 한글 EPS 취약점 파일들은 악의적인 쉘코드를 실행하기 전 공통적으로 해당 메모리 영역의 속성을 변경하기 위해 VirutalProtect 라는 API를 사용한다. 코드상의 오류라고 판단하는 부분은 VirutalProtect API 호.. 2019. 11. 18.