본문 바로가기

전체 글보기1173

[보고서] 한글 파일에 숨어든 ‘고스트’ 한글 파일에 숨어든 '고스트' 고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일 동일한 고스트스크립트 취약점을 이용하여 약 2년 여간 지속되고 있는 악성 한글 파일에 대해 상세 분석 보고서입니다. 01. 시작하면서 02. 배경지식 1) 한글 파일의 구조 2) 한글의 EPS 파일 로드 과정 03.악성 한글 파일 1) 한글 파일의 내용과 공격 대상 2) 한글 파일에 포함된 EPS 파일 04. CVE-2017-8291 취약점 1) 포스트스크립트의 이해 2) 취약점 개요 3) 취약점 공격 과정 분석 방법 피연산자 스택 익스플로잇 과정 05. 결론 06. 참고 자료 1) V3 탐지 2) 침해 지표 ※ 본 보고서의 어떤 부분도 안랩의 동의 없이 복제, 복사할 수 없으며, 위반시 저작권법에 저촉.. 2019.07.03
3대 국내 사용자 타깃 악성코드 ♥ Amadey 봇의 은밀한 관계 'GandCrab' 랜섬웨어, 암호화폐 거래소 대상 공격 악성코드, 스팸 메일로 유입된 'Ammyy' 원격제어 백도어와 'Clop' 랜섬웨어까지... 이들의 공통점은 모두 국내 기업 및 사용자를 주 타깃으로 하는 악성코드라는 점이다. 'GandCrab' 랜섬웨어는 '이력서'와 같은 스팸 메일이나 국문으로 된 피싱 다운로드 페이지를 이용하여 주로 유포되었고, V3 제품 무력화 시도 등 국내 사용자와 제품을 공격하였다. 암호화폐 거래소 공격 악성코드는 국내 주요 거래소를 대상으로 이메일 첨부파일을 이용하여 유포되었고, 이메일 계정을 포함한 정보와 코인 탈취 등의 기능을 수행하였다. 'Ammyy' 백도어는 국내 대기업을 포함하여 무차별적 스팸 메일로 대량 유포되었으며, 원격 제어를 통해 시스템을 장악 및 내부.. 2019.07.02
다양한 형태로 유포되는 CLOP 랜섬웨어 자사에서는 그간 Ammyy 백도어의 유포 과정과, Ammyy 백도어와 CLOP 랜섬웨어가 같은 인증서를 사용하는 점들을 블로그에 언급해왔다. 이를 총 정리하여 유포 단에서 마지막 랜섬웨어까지의 유포를 정리하고자 한다. 아래 보이는 [그림1]은 전반적인 구조를 표현한 것으로, 한눈에 보아도 복잡하게 구성되어 있음을 알 수 있다. [그림1] – 흐름 구조도 올해 2월 초부터 메일에 악성 문서를 첨부하여 유포되었는데, 지난 5월 30일 자사 블로그(https://asec.ahnlab.com/1234)에 언급되었던 것처럼 국세청을 사칭한 메일을 시작으로 실행을 유도하는 내용과 함께 문서가 아닌 HTML파일이 첨부되어 유포됨을 확인하였다. 위 [그림1]과 같이 하나의 단계가 가장 앞 단에 추가된 셈이다. HTML.. 2019.06.27
유효한 디지털 인증서로 서명된 악성 파일 증가 발급 대상의 신원 정보를 바탕으로 신뢰도를 높이고 무결성을 확보하기 위해 파일에 디지털 서명을 하는 과정을 코드 서명(Code Signing)이라고 한다. 파일 제작자는 공인된 인증기관(CA, Certificate Authority)을 통해 디지털 인증서(Digital Certificate)를 발급받고, 제작한 파일을 해당 인증서로 서명한다. 코드 서명이 된 파일은 기관을 통해 인증받은 파일이기 때문에 웹 브라우저의 다운로드 검증 단계나 파일 실행 단계에서 백신 제품의 탐지를 회피하기 쉽다. 이 때문에 악성코드 공격자들은 파일에 유효한 디지털 서명(Digital Signature) 정보를 추가하여 유포하기도 하는데, 이러한 시도는 이미 2010년 스턱스넷(Stuxnet) 등 과거부터 꾸준히 확인되었다. .. 2019.06.04
파일리스 형태의 매그니베르 랜섬웨어 사전방어 (V3 행위탐지) 작년(2018년) 안랩 분석팀에서 제작한 매그니베르(Magniber) 복구툴 배포 이후, 매그니베르는 파일리스(Fileless) 형태로 복구가 불가능하게 변경되었다. Fileless 형태로 유포 중인 매그니베르는 행위탐지를 우회하고, 성공적인 파일 암호화를 위하여 (감염 시스템의)권한이 있는 불특정 프로세스에 무차별 인젝션을 수행하게 진화하였다. 이러한 기법을 통해 랜섬웨어 행위의 주체가 감염 시스템의 실행 중인 정상 프로세스가 되고, 해당 프로세스를 종료해도 다른 프로세스에 의해 랜섬웨어 행위가 재 실행되는 구조로 감염 후에는 차단을 어렵게 한다. 참고(1): 인젝션 대상 변경 정보 (https://asec.ahnlab.com/1137) Anti-Virus 제품이 단순히 랜섬웨어 행위(파일 암호화)를 .. 2019.05.31
[주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) 2019년 5월 30일 오전 국세청을 사칭한 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다. 국세청 세금계산서로 위장하여 스팸 메일이 발송되었고, 첨부 된 .html 파일은 악성 엑셀 파일(xls)을 다운로드 하는 기능이 있다. 기존에는 메일에 xls파일을 첨부하여 유포하였다면, 이번엔 스크립트(html)를 첨부해 이를 통해 xls 을 다운로드 하는 방식으로 변경되었다. 첨부된 html 파일을 열게 되면 [그림 2]에 있는 url을 통해 악성 xls 파일을 다운로드 받으면 기존에 분석 된 내용과 동일한 백도어 AmmyyRat 파일을 다운받게 된다. 매크로를 포함한 상세 분석은 이 전 글을 참고하기 바란다. 2019/05/29 - [악성코드 정보] - [주의] 국내 기업을 대상으로 대량.. 2019.05.30
[주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포 최근 국내에서 가장 이슈가 되는 타겟형 공격은 기업을 대상으로 유포되고 있는 Ammyy 원격제어 백도어와 이를 통해 설치되는 Clop 랜섬웨어이다. 백도어 파일은 온라인에 공개되어 있는 Ammyy 원격제어 프로그램의 소스를 이용하여 제작되었고, 이를 공격 대상 PC에 심어 놓은 후 원격으로 시스템에 접근한다. 공격자가 장악한 시스템에서 최종 실행하고자 하는 악성 파일은 Clop 랜섬웨어이다. 특징적으로 이 공격은 유포과정에서 공격 대상 PC가 도메인 컨트롤러를 이용하고 있는 AD(Active Directory) 서비스 구조에 있는 사용자인지 여부를 확인한다. 맞을 경우에만 이후 전파 과정을 진행하는데, 이는 일반적으로 사용자를 도메인으로 구성해서 시스템을 운영하는 기업을 공격 대상으로 한다는 것을 의미한.. 2019.05.29
'AhnLab' 폴더를 암호화에서 제외하는 Maze 랜섬웨어 안랩 ASEC은 지난 5월 24일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다. 암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다. 암호화가 끝나면 바탕화면을 변경하여 RSA-2048 과 ChaCha 알고리즘을 암호화에 사용했다는 것을 알린다. 또한, 암호화 과정에서 폴더명이 “AhnLab” 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것을 확인하였다. 암호화에서 제외되는.. 2019.05.29