ライブラリファイルを利用した韓国国内企業への APT 攻撃 Posted By Hansoyoung , 2021年 June 4日 最近になり、韓国国内企業を対象に持続的なターゲット型攻撃が発生した。企業の侵害システムから収集された不正なファイルのうち、その大半は動的ライブラリ(DLL)ファイルであった。しかし、今回の攻撃に使用されたファイルは一般的な DLL ファイルとは違っていた。収集されたファイルは、正常なライブラリが様々な方法で悪意を持って改ざんされたファイルであった。 どのような経路でシステムに不正なファイルが生成されたのか、また最初の攻撃流入経路は何であったのかは、まだ分かっていない。また、単独実行が不可能なライブラリの特性上、これを実行するトリガー行為や追加のファイル情報も確認されなかった。しかし、現在までに収集されたファイルだけでも今回の攻撃には明確な特徴がある。 正常なライブラリ(DLL)ファイルの Export 情報を改ざん(追加、置換え、変更)した不正ファイル 不正ファイルを実行するために、有効な引数やデータファイルが必要 引数やデータファイルを通じて機能のモジュール化および機能置換えが可能 ライブラリファイルを利用した攻撃の特徴 正常なライブラリファイルに Export…
