본문 바로가기

전체 글보기

[주의] 국내 코인업체 대상 'Amadey' 악성코드 공격시도 안랩 ASEC은 최근들어 국내 코인업체를 대상으로 타겟하여 이메일 첨부파일(DOC, RTF, VBS, EXE 등 다양) 형태로 'Amadey' 이름의 악성코드 공격이 빈번하게 시도됨을 확인하였다. 현재까지 공격에 사용된 문서파일 및 실행파일의 이름은 다음과 같다. - Crypto Market Predictor for Desktop V2.13.exe - Price list on blockchain 24.03.2019.exe - Price list coins 26.03.19.bat - 주식회사 크립토???_세무조정계산서(추가).doc - ?토큰전망분석.doc - 추가안내서.hwp.exe - ??? 상세분석.doc - ????송금내역.doc - ??? 회원님 거래내역.doc - ??coin 관련 문의내용.do..
한국과 일본의 기관과 기업을 노리는 틱(Tick) 그룹 동향 틱 그룹(Tick Group)은 볼드나이트(Bald Knight), 브론즈 버틀러(Bronze Butler), 니안(Nian), 레드볼드 나이트(RedBaldKnight) 등으로도 불리는 공격 그룹으로, 지난 2014년부터 본격적인 활동이 포착되었다. 이 그룹이 처음 알려진 것은 2013년 어도비 플래시 플레이어 제로데이 취약점인 CVE-2013-0633과 CVE-2013-0634를 이용한 레이디보일(Ladyboyle) 이다. 2016년 4월 시만텍(Symantect)이 처음으로 이 그룹을 ‘틱(Tick)’으로 명명 했으며, 같은 해 11월 일본의 보안 업체인 LAC 에서 이 그룹의 일본 활동을 공개했다. 2017년 6월에는 시큐어웍스(SecureWorks)에서 브론즈 버틀러(Bronze Butler) ..
워드 문서파일 위장 악성 vbs 스크립트 유포 중 (BTS 화보집) 안랩 ASEC은 최근 국내 사용자를 대상으로 악성코드를 다운로드 받는 악성 vbs 스크립트 파일과 워드 문서 파일을 확인하였다. 공격자는 다음과 같이 “0328_크립토***”라는 이름을 갖는 압축 파일을 메일 첨부 파일로 유포한다. 압축 파일 내부를 보면 "주식회사 크립토***_세무조정계산서(추가).doc” 악성 문서 파일과, “참고사항.doc .vbs”라는 이름을 갖는 악성 vbs 스크립트가 들어있다. 악성 doc 파일은 아래와 같은 형태를 가지고 있는데 보통 매크로 활성화 버튼을 클릭하도록 유도하는 형태와 달리 아무런 내용이 존재하지 않는다. 아마도 이 문서 파일을 처음 읽는 입장에서 매크로를 활성화하지 않아 내용이 보이지 않는 것인가 하는 생각으로 활성화 버튼을 클릭하도록 유도하는 것으로 추정된다...
Operation ShadowHammer (ASUS 인증서만 문제?) 2019년 3월 25일, ASUS 소프트웨어 업데이트 서버가 해킹되어 유효한 인증서를 포함한 악성코드 유포가 Kaspersky Lab 에 의해 보고되었다. Kaspersky는 이러한 공격을 "Operation ShadowHammer" 로 명명하였으며, ASUS 업체에는 2019 년 1 월 31 일 공격에 대한 정보를 전달한 것으로 알려졌고, 최초 공격은 2018 년 6 월에서 11 월 사이에 시작된 것으로 추정된다. 공격을 받은 ASUS Live Update는 대부분의 ASUS 컴퓨터에 설치되어 BIOS, UEFI, 드라이버 및 응용 프로그램과 같은 구성 요소를 자동으로 업데이트하는 데 사용되는 유틸리티이다. Kaspersky의 통계에 따르면 57,000 명이 넘는 Kaspersky 사용자가 ASUS L..
GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) 안랩 ASEC은 최근 Gandcrab v5.2에서 새로운 방식의 동적 분석 우회 기법이 사용되는 것을 확인하였다. Gandcrab에서 사용되는 동적 분석 우회 기법은 이전 블로그에서도 다룬 바 있다. - GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 [ https://asec.ahnlab.com/1202 ] 이전 글에서 다룬 시간 지연 방식은 SetTimer() API 함수 즉 타이머를 이용한 방식이었다. 동적 분석 환경에서는 샘플에서 이러한 API가 사용될 때 충분히 의심스러운 행위로 파악할 수 있으며, 또한 이렇게 지정한 시간에 대한 우회도 가능하다. 하지만 최근 유포되는 Gandcrab v5.2에서는 다수의 쓰레기 루틴을 반복하는 방식을 통해 시간을 지연시킨다. 위의 루틴은 API ..
[주의] 국내에 확산되고 있는 SMB취약점(MS17-010) 공격시도 2017년 5월 12일 스페인, 영국, 러시아 등을 시작으로 전 세계를 ‘랜섬웨어 공포’로 몰아넣었던 ‘워너크립터’(일명 워너크라이) 사태가 발생한지 대략 2년이라는 시간이 지났다. 당시 전 세계 150여개국에서 최소 30만대 이상의 컴퓨터 시스템을 감염한 것으로 알려졌으며, 국내에서는 21곳의 기관 및 기업이 피해를 입은 것으로 보고되었다. 피해 시스템들은 모두 SMB(포트번호: 445) 서비스를 사용하고 있었으며, 2017년 3월에 발표된 SMB 취약점(MS17-010) 보안 업데이트를 적용하지 않았다. 2년이라는 시간이 흐르는 동안 ‘워너크립터’라는 랜섬웨어는 사람들의 머릿속에서 잊혀지고 있지만, 당시 사용된 SMB 취약점을 통한 공격은 ‘코인마이너’라는 암호화폐 채굴형 악성코드에서 활발하게 사용되..
[주의] 한국 경찰을 사칭해 GandCrab을 유포하는 문서파일 (Pastebin 삭제) 안랩 ASEC은 3월 21일 한국 경찰을 사칭하여 유포되는 Gandcrab 다운로더 문서를 발견하였다. 이 전 글과 동일하게 cmstp.exe를 통해 Windows Sript Componet(.sct) 형태의 파일을 다운로드 받아 Gandcrab이 실행된다.- 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) https://asec.ahnlab.com/1210 [그림 1] 워드 문서 다른점은 http://pastebin.com 을 이용하지 않고, http:134.209.88.23/???.txt 주소를 통해 *.sct 파일을 다운로드 받는 것이다.[그림 2] 인코딩 된 Gandcrab을 갖고 있는 .sct 파일 한국 경찰을 사칭하는 것으로 액티브 콘텐츠 사용버튼을 누르는 것에..
워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) 안랩 ASEC은 2019년 3월 19일 Gandcrab 랜섬웨어 유포방식의 변화를 확인하였다. 워드문서(ex) 소환장.doc, 알리미.doc) 실행 시 내부 매크로 코드에 의해 Windows Script Component(.sct) 형태의 파일이 Pastebin 사이트를 통해 다운로드되며, 이를 통해 실행파일 형태의 GandCrab 랜섬웨어가 생성 및 실행되는 방식이다. 현재까지 확인된 유포방식은 1)워드 문서파일이 실행 파일을 다운로드하거나, 2)이력서로 가장하여 Gandcrab 실행("입사지원서.doc (공백) .exe")을 유도하거나, 3)구글 검색시 노출되는 웹 페이지를 통해 자바스크립트 형태("*.js")로 유포되고 있었다. 1) https://asec.ahnlab.com/1178 (제목: 이력..
코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드 최근 ASEC은 알리바바 코인 (ABBC Coin) 지갑 프로그램과 함께 설치되는 정보 유출 악성코드를 발견하였다. ABBCCoin 프로그램을 실행하면 AppData\Roaming 폴더에 아래와 같은 지갑 프로그램과 함께 sys.exe라는 다운로더 기능을 갖는 악성코드를 드랍 및 실행한다. ABBCCoin 지갑 프로그램 다운로더 악성코드는 먼저 Anti Sandbox 기법을 사용하는데, 분석 환경에서 해당 파일 단독으로 실행 시에는 악성 행위를 수행하지 않도록 AppData\Roaming 폴더에서 “123456789”가 적힌 abbc.log 파일을 읽고 내용을 확인한다. 즉 sys.exe 파일 단독으로 실행 시에는 바로 종료되며 드로퍼를 통해 실행시키는 경우에만 악성 행위가 수행된다. 사용된 Anti S..
기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어) 최근 특정 기관을 사칭한 피싱 메일이 활발하게 유포되고 있다. 피싱 메일에 첨부된 엑셀 문서파일(증명서.xls, 의뢰.xls 등)은 악성 매크로를 포함하고 있다. 해당 악성 매크로가 실행되면 Ammyy로 명명된 원격제어 기능의 악성코드가 설치된다. 최근 안랩 ASEC은 해당 백도어 악성코드를 모니터링 중, 해당 악성코드가 기업을 타겟으로 한다는 코드 상의 변화를 포착하였다. 또한, 이전 글에서 소개했듯이 Ammyy 백도어 프로그램과 CLOP 랜섬웨어가 동일한 인증서로 유포되는 것을 통해 기업 사용자를 타겟(AD서버에 대한 탈취)으로 유포되는데 Ammyy 백도어가 활용되는 것으로 추정된다. ASEC 블로그 사례- 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 [ https://asec.ahn..