사라진 MS Office 문서 악성코드, 어디로 갔나?
웹 브라우저나 이메일 클라이언트에 저장되어있는 사용자 계정 정보를 탈취하는 인포스틸러(정보 탈취) 악성코드는 실질적으로 일반 사용자나 기업 사용자들을 대상으로 하는 공격의 대부분을 차지한다. 이와 관련된 내용은 작년 12월의 ASEC 블로그를 통해 공유된 바 있다.[1] 명명된 악성코드의 주요 기능마다 유포방식이 조금 다르기는 하지만, 일반적으로 인포스틸러 유형의 악성코드는 정상 프로그램을 다운로드하는 페이지로 위장한
RDP를 이용해 감염 시스템을 제어하는 Kimsuky 위협 그룹
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
Lazarus 조직의 Operation Dream Magic
Lazarus 조직은 국가가 배후인 것으로 알려진 해킹 조직으로 금전적인 이득, 자료 탈취 등의 목적으로 전세계를 대상으로 꾸준히 해킹하고 있습니다. Lazarus 조직의 이니세이프 취약점을 악용한 워터링 홀을 간단하게 정리하면 언론사의 특정 기사에 악성 링크 삽입, 해당 기사를 클릭하는 기업, 기관이 해킹 대상, 국내 취약한 홈페이지를 C2 로 악용 그리고 제한된 범위의
16진수 표기법 주소를 통해 설치되는 ShellBot DDoS 악성코드
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 설치되고 있는 ShellBot 악성코드의 유포 방식이 변경된 것을 확인하였다. 전체적인 흐름은 동일하지만 공격자가 ShellBot을 설치할 때 사용하는 다운로드 주소가 일반적인 IP 주소 대신 16진수 값으로 변경된 것이 특징이다. hxxp://0x2763da4e/dred hxxp://0x74cc54bd/static/home/dred/dred 1. 과거 URL 탐지 우회 사례
Magniber 랜섬웨어의 유포 중단 (8/25 이후)
AhnLab Security Emergency response Center(ASEC)은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 8/3 매그니베르가 사용하는 인젝션 기법의 차단룰 배포 이후 아래와 같이 블로그를 공개하였다. 매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection) – ASEC BLOG 매그니베르(Magniber) 랜섬웨어는 높은
Lazarus 위협 그룹의 Volgmer, Scout 악성코드 분석 보고서
개요1. Volgmer 백도어 분석…. 1.1. Volgmer 초기 버전…….. 1.1.1. Volgmer 드로퍼 분석…….. 1.1.2. Volgmer 백도어 분석…. 1.2. Volgmer 후기 버전…….. 1.2.1. Volgmer 백도어 분석2. Scout 다운로더 분석…. 2.1. 드로퍼 (Volgmer, Scout)…. 2.2. Scout 다운로더 분석…….. 2.2.1. Scout 다운로더 v1…….. 2.2.2. Scout 다운로더 v23. 결론 목차 국가 차원의 지원을 받는
스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla)
AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다.
비정상적 인증서를 가진 정보탈취 악성코드 유포 중
최근 비정상적인 인증서를 사용한 악성코드가 다수 유포되고 있다. 악성코드는 통상 정상 인증서로 위장하는 경우가 많지만, 해당 악성코드는 인증서 정보를 무작위로 입력하였으며 그중 Subject Name 항목과 Issuer Name 항목은 비정상적으로 문자열 길이를 길게 하였다. 때문에 윈도우 운영체제 상에서는 인증서 정보가 보이지 않으며 특정 툴 혹은 인프라를 통해야 해당 인증서 구조를 확인
침해당한 시스템의 코인마이너 유포 과정(EDR 탐지)
AhnLab Security Emergency response Center(ASEC)은 침해당한 시스템에서 공격자가 시스템의 리소스를 이용하여 가상 화폐를 채굴하는 코인마이너를 설치하는 과정을 확인하였다. 시스템의 리소스를 이용하여 가상화폐를 채굴하는 코인마이너의 설치 과정을 안랩 EDR 제품을 통해 탐지하는 내용을 소개한다. 그림 1은 침해당한 시스템에서 공격자가 사용한 명령어를 동일하게 사용했다. CMD 프로세스로 파워쉘 명령어를 통해 파워쉘 스크립트를
국세청을 사칭한 악성 LNK 유포
AhnLab Security Emergency response Center(ASEC) 에서는 국세청을 사칭한 악성 LNK 파일이 국내 유포되고 있는 정황을 확인하였다. LNK 를 이용한 유포 방식은 과거에도 사용되던 방식으로 최근 국내 사용자를 대상으로 한 유포가 다수 확인되고 있다. 최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된
