본문 바로가기
원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능 ASEC 분석팀에서는 2014년도에 뱅킹 악성코드에 DDoS 기능이 포함된 Gh0st RAT 분석 정보를 소개한 바있다. 당시에는 주로 DDoS 공격기능 중심으로 소개되었고, 전체적인 동작과정 및 원격제어 기능에 대한 설명이 부족하였다. 해당 원격제어 툴은 현재까지도 널리 사용되는 상황으로 이번 글에서는 좀 더 다양한 기능들에 대해 분석한 내용을 설명하고자 한다. 뱅킹악성코드에 포함된 DDoS 공격기능 ('Gh0st' 3.75 버전) 최근들어 사용자 시스템의 호스트파일(hosts) 변조를 통한 은행 피싱사이트 방문 유도 및 이를통한 금융정보 유출을 시도하는 악성코드가 빈번하게 발생하고 있다. 관심있게 볼 부분은 3월말부�� asec.ahnlab.com Gh0st RAT은 중국의 C. Rufus Secur.. 2020. 6. 16.
ASEC 주간 악성코드 통계 ( 20200608 ~ 20200614 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 8일 월요일부터 2020년 6월 14일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 56.9%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 15.4%, RAT (Remote Administration Tool) 악성코드가 11.2%를 차지하였다. 랜섬웨어와 뱅킹 악성코드는 8.2%, 7.5%로 그 뒤를 따랐다. Top 1 - AgentTesla 33.0%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 .. 2020. 6. 15.
[주의] NSIS 형태로 유포 중인 이력서 위장 Makop 랜섬웨어 ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 다른 외형으로 유포되는 것을 확인했다. 대다수의 악성코드는 내부 바이너리를 숨기고 AV의 진단을 우회하기 위해 패킹(Packing) 기법을 활용한다. 내부 악성코드 바이너리는 동일하지만 겉 포장만을 다르게 하여 마치 다른 파일인 것처럼 제작하는 것이다. 최근 활발히 유포 중인 이력서를 위장한 악성코드 또한 마찬가지이다. 기존에는 V3 진단명 "MalPE"유형의 패커(Packer)를 사용하였지만 최근 발견된 샘플에서는 NSIS를 사용한다. 아이콘 및 파일명은 기존과 동일하다. 이력서(경력사항은 자세히 기재하였습니다 확인바랍니다).exe 포트폴리오(경력사항은 자세히 기재하였습니다 확인바랍니다).exe [주의] 이력서와 공정거래위원회를 사칭.. 2020. 6. 12.
ASEC 주간 악성코드 통계 ( 20200601 ~ 20200607 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 1일 월요일부터 2020년 6월 7일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 56.6%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 16.4%, RAT (Remote Administration Tool) 악성코드가 12.9%를 차지하였다. 뱅킹과 랜섬웨어악성코드는 9.1%, 3.5%로 그 뒤를 따랐다. Top 1 - AgentTesla 30.1%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플.. 2020. 6. 8.
[주의] KMSAuto 인증 툴을 위장하여 유포 중인 Vidar 인포스틸러 ASEC 분석팀은 최근 Vidar 인포스틸러 악성코드가 KMSAuto, KMSPico 인증 툴을 위장한 악성코드들을 통해 유포 중인 것을 확인하였다. 사용자들은 윈도우 정품 인증을 목적으로 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 웹 브라우저, FTP 클라이언트, 지갑 주소를 포함한 다수의 사용자 정보들이 공격자에 유출될 수 있으며, 다운로더 기능을 가진 Vidar의 특성 상 추가 악성코드가 다운로드되어 설치될 수 있다. KMSAuto, KMSPico는 윈도우 정품 인증을 위한 불법 인증 툴로서 다수의 일반 사용자들이 인터넷에서 다운로드 및 사용되는 프로그램이다. 이렇게 사용자 수가 많은 만큼 악성코드들도 이를 악용하는데, 이번에 확인된 악성코드는 이 툴을 위장한 Vidar 인포스틸러(I.. 2020. 6. 4.
국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중 ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다. '부동산 관련' 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학술관련 제목으로 악성코드가 제작되고 있음이 확인되었다. 악성 한글문서(.hwp) 주제별 연관성 분석 ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 �� asec.ahnlab.com 현재까지 확인된 악성 한글문서의 제목은 아래와 같이 2가지이며, 위 블로그 상에서 분류한 주제 중, ‘그 외’ 항목에 해당하는 기법으로 확인되었다. 해당 한글문서의 특징은 실행.. 2020. 6. 4.
드론(무인항공기) 현황 내용의 한글(*.HWP) 악성코드 유포 중 ASEC 분석팀에서는 드론(무인항공기) 관련 내용의 악성 한글 문서(.HWP)가 유포되고 있음을 확인하였다. 아래 [그림1]과 같이 드론 현황 및 개선방안의 내용으로 구성되어 있으며 내부에는 악성 EPS를 포함하고 있다. 문서 실행 시 내부의 악성 포스트스크립트(EPS)가 동작하여 악성 행위를 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 사용하여 내부의 쉘 코드를 복호화 후 실행한다. 감염 PC에서 현재 실행중인 모든 프로세스 정보를 조회하며 자사 V3 제품이 실행 중인지 검사하는 루틴이다. 비교 대상 값인 3376과 3356은 문자열로 "v3" 및 "V3"를 의미한다. 해당 쉘 코드가 동작하면 작업스케줄러에 다음과 같은 명령어로 예약 작업을 등록하여 3분 마다 실행되도록 한다. sc.. 2020. 6. 2.
ASEC 주간 악성코드 통계 ( 20200525 ~ 20200531 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 5월 25일 월요일부터 2020년 5월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 37.4%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 36.1%, RAT (Remote Administration Tool) 악성코드가 14.6%를 차지하였다. 뱅킹과 랜섬웨어 악성코드는 8.2%, 2.3%로 그 뒤를 따랐다. Top 1 - GuLoader 34.7%를 차지하는 GuLoader 는 추가 악성코드를 다운로드하여 실행시키는 다운로더 악성코드이다. 진단을 우회하기 위해 Visual Basic 언어로 패킹되.. 2020. 6. 1.