워드문서로 유포되는 다나봇 악성코드의 EDR탐지

Posted By ,

최근 이메일을 통해 유포되는 문서 악성코드는 수식 편집기 취약점 문서와 외부 External 연결 주소가 포함된 문서가 주로 유포된다. 해당 블로그는 후자의 방식인 외부 External 연결 주소가 포함된 문서로 유포되는 다나봇(Danabot) 악성코드의 감염 흐름을 설명하고, 자사 EDR 제품의 다이어그램을 통해 확인 가능한 증적 및 탐지를 설명한다.  [그림 1]은 External 연결 주소가 포함된 워드문서가 첨부된 스팸메일 본문이다. 본문 내용을 보면 알 수 있듯이 수신자를 속이기 위해 정교하게 위장된 입사 지원서 이메일이다. 첨부된 문서(.docx)는 External 연결 주소가 포함된 워드문서이다.       [그림…

AhnLab EDR을 활용한 IIS 웹 서버 대상 초기 침투 단계 탐지

Posted By ,

현대 인터넷 사회에서는 쇼단 (Shodan)과 같은 네트워크 및 장치 검색 엔진으로 인터넷에 연결된 전 세계의 장치들의 정보 획득이 가능하다. 공격자들은 이러한 검색 엔진을 통해 공격 대상의 정보를 수집하거나 불특정 다수의 장치에 포트 스캔 등의 공격을 수행할 수 있다. 공격자는 정보 수집 결과를 활용하여 대상 시스템의 약점을 찾아 초기 침투를 시도하고 측면 이동과 랜섬웨어 유포 등의 목표를 달성한다. 따라서 기업 보안 담당자는 외부에 노출된 IT 자산이 존재할 경우 지속적인 관리와 비정상적인 행위에 대한 모니터링이 필요하다. AhnLab EDR (Endpoint Detection and Reponse)은…

코인 투자를 권유하는 로맨스 스캠

Posted By ,

AhnLab 모바일 분석 파트는 해외 친구 및 연인을 가장하여 친분을 쌓은 뒤 암호화폐(코인) 투자 명목으로 금전을 갈취하는 로맨스 스캠 사례를 확인하였다. 로맨스 스캠이란 ‘Romance’와 신용사기를 뜻하는 ‘Scam’의 합성어로 감정적인 교류를 맺으며 다양한 방법으로 금전을 요구하는 신용 사기 범죄이다. 이전 로맨스 스캠은 호감을 얻은 뒤 직접적으로 금전을 요구하는 것이 대다수였지만 현재 가짜 암호화폐 거래소, 은행 및 쇼핑몰 등으로 범위를 넓혔다. 로맨스 스캠은 국내에 한정되어 있는 것이 아니라 번역 메신저를 이용하여 전세계적으로 이루어지고 있다. 해당 사례의 가해자 또한 중국계 일본인라 소개하며, 해외…

저작권 침해 관련 내용으로 유포되는 악성코드 (Beast 랜섬웨어, Vidar 인포스틸러)

Posted By ,

AhnLab SEcurity intelligence Center(ASEC)에서는 저작권 침해 경고/이력서 위장 내용을 활용한 랜섬웨어/인포스틸러 악성코드에 대해 지속적으로 소개해왔다. 최근 저작권 침해에 대한 경고 내용을 바탕으로 새로운 악성코드의 유포가 확인되어 소개하고자 한다. 1. 개요 이메일의 본문 내용은 기존과 크게 다르지 않지만, 악성코드를 전달하는 방식의 변화가 확인되었다. 기존에는 이메일에 암호를 설정한 압축 파일을 첨부하였으나, 이메일 내에 외부 링크를 기입하여 다운로드를 유도하는 방식으로 변경되었다. 본문 내 ‘저작권 위반내용 확인하기’ 의 하이퍼링크를 클릭하면 압축 파일이 다운로드 된다. 압축 파일에 별도 암호는 설정되어있지 않으나 최초로 다운로드 되는 압축…

사용자 정보를 탈취하는 CHM 악성코드 국내 유포

Posted By ,

AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 CHM 악성코드가 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 유포 중인 CHM 은 과거부터 LNK, DOC, OneNote 등 다양한 포맷을 통해 꾸준히 유포되던 유형으로, 최근 동작 과정에 약간의 변화가 확인되었다. 전체적인 실행 과정은 [그림 1]과 같다. 다수의 스크립트를 통해 최종적으로 사용자 정보 및 키로그 데이터를 공격자에게 전송하는 유형으로, 각 실행 과정은 아래에서 소개한다. 1. CHM CHM 실행 시, 생성되는 도움말 창은 [그림 2]와 같으며 과거에 이용했던 문구를 그대로 사용한 것으로 보인다. 이때…