원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지

원격 제어 도구는 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 코로나와 같은 환경에서 재택근무 솔루션으로서도 활용이 가능하며 무인 단말기를 원격에서 제어, 관리 및 보수하는 용도로도 활용된다. 이렇게 정상적인 관리 목적으로 사용하는 원격 제어 도구를 RAT 즉 “Remote Administration Tool”라고 부른다. 참고로 Remcos RAT이나 njRAT, Quasar RAT, AveMaria와 같이 원격에서 감염 시스템을 제어할 수 있는 백도어 유형의 악성코드들 또한 RAT(Remote Access Trojan)라고 부르는데 원격에서 감염 시스템을 제어할 수 있기 때문이다. 이러한 “Remote Access Trojan” 악성코드들은 일반적으로 원격 제어 기능뿐만 아니라 키로깅이나…

개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni)

AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다. 악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다. 생성된 파일들은 정상 doc 파일을 제외하고 난독화가되어있다. 생성된 파일 중 정상 ‘20231126_9680259278.doc’ 문서도 포함하여 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다. Operator.jse은 WindowsHotfixUpdate.jse를 실행시키는 작업 스케줄러를 생성하며,…

AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey)

개요초기 침투 방식…. 2.1. 스피어 피싱 공격…. 2.2. LNK 악성코드원격 제어 악성코드…. 3.1. XRat (Loader)…. 3.2. Amadey…. 3.3. 최신 공격 사례…….. 3.3.1. AutoIt Amadey…….. 3.3.2. RftRAT감염 이후…. 4.1. 키로거…. 4.2. 인포스틸러…. 4.3. 기타 유형들결론 1. 개요 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방,…

WSF 스크립트로 유포되는 AsyncRAT

ASEC(AhnLab Security Emergency response Center) 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT에 대한 내용을 게시한 적이 있다.[1] 이러한 유형의 AsyncRAT 악성코드가 최근 WSF 스크립트 형태로 변형되어 유포되는 정황을 확인하였다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. [다운로드 URL]1. https://*****************.com.br/Pay5baea1WP7.zip2. https://************.za.com/Order_ed333c91f0fd.zip3. https://*************.com/PAY37846wp.zip4. https://*****.****.co/eBills37890913.zip 최초 다운로드 된 zip파일을 압축 해제하면 .wsf확장자를 가진 파일이 있다. 해당 파일은 아래 이미지와 같이 대부분 주석으로 이루어져 있으며 중간에 <script> 태그 하나만 존재한다. 해당 스크립트가 동작하게 되면 아래 이미지와 같이 Visual Basic…

RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지

원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며 이를 이용해 로그온 하는 과정이 필요하다. 이에 따라 RDP가 활성화되어 있는 시스템이 외부에 공개되어 있을 경우 공격자들은 브루트 포싱 공격(또는 사전 공격)을 수행해 자격 증명…