NSIS 설치파일 형태의 악성코드에서 사용중인 탐지 우회기법
악성코드 제작자는 백신사로부터 진단되지 않기 위해 다양한 시도를 해왔다. 과거에는 분석하기 어렵게 안티 디버깅 기법을 사용하거나 혹은 안티 VM 기법의 비중이 높았다면 지금은 SandBox를 우회하기 위해 시간 지연 방법 등을 사용한다. 이 글에서 소개될 NSIS(Nullsoft Scriptable Install System)는 윈도우용 인스톨 도구로 스크립트 기반으로 동작하기 때문에 외형이 특성상 정상 NSIS 인스톨러와 동일할 수 밖에
국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드
최근 들어 국내 기업을 사칭한 이메일로 유포되는 악성코드가 증가하고 있다. 메일 내용은 수신인을 고려하여 절묘하게 작성되어 있어서, 공격 대상의 악성코드 실행 가능성을 높였다. 이메일은 lzh, r22 등의 압축 파일 포맷으로 된 첨부 파일로 포함하고 있다. 기존에 zip, egg 등의 좀 더 일반적인 파일 포맷을 이용한 것과는 비교되는 특징이다. 압축 파일
IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태)
CVE-2019-1367 취약점은 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약점이다. MS에서는 해당 취약점에 대해 아래와 같은 위험성을 경고 하고 있다. 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다. 웹 기반 공격 시나리오에서 공격자는 Internet Explorer를 통해 이 취약성을 악용하도록 설계하여 특수 제작된 웹 사이트를 호스트한 다음, 전자 메일을 보내는 식으로 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 1) ASEC 분석팀에서는 CVE-2019-1367 취약점을 악용한 악성코드를 확인하였으며, 취약점 발생 시 주요 행위는 아래와 같다. 취약점이 발현되면 쉘
![[주의] 이력서 가장한 정보유출 악성코드 유포 중 (2020.01.23)](https://asec.ahnlab.com/wp-content/uploads/2020/09/nstower-1.png)
[주의] 이력서 가장한 정보유출 악성코드 유포 중 (2020.01.23)
ASEC 분석팀은 1월 23일 채용 시즌에 맞춰 이력서로 가장한 정보유출 악성코드가 국내에 유포 중인 것을 확인하였다. 기존 이력서 가장한 악성코드들은 비너스락커부터 랜섬웨어를 지속적으로 유포하였었는데, 오늘 발견된 이력서 악성코드는 정보유출 (infostealer) 인 점이 가장 큰 특징이다. 파일의 외형적 특징으로는 Bluecrab, Nemty, Paradise 랜섬웨어와 동일한 패커(Packer)를 사용하였다. 유포 파일명 이력서(200123)뽑아주시면열심히하겠습니다잘부탁드리겠습니다.exe 포트폴리오(200123)뽑아주시면열심히하겠습니다잘부탁드리겠습니다.exe 파일이 실행되면
![Antefrigus 랜섬웨어 변종 국내 발견 (CLICK_HERE-[랜덤].txt)](https://asec.ahnlab.com/wp-content/uploads/2020/09/chain-1.png)
Antefrigus 랜섬웨어 변종 국내 발견 (CLICK_HERE-[랜덤].txt)
ASEC 분석팀은 Antefrigus 랜섬웨어의 변형으로 추정되는 랜섬웨어가 국내 유포 중임을 확인하였다. 해당 랜섬웨어는 지난 12월 30일부터 유포되었으며 최근 다량으로 퍼지고 있다. 지난달 24일 게시한 랜섬웨어와 마찬가지로 제작자와 채팅할 수 있는 주소가 존재하며 다른 랜섬웨어와는 다르게 볼륨 섀도우 카피 삭제를 수행하지않아 랜섬웨어 감염 이전에 볼륨 새도 복사본을 생성해두었다면 복구가 가능하다. 해당
부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중
2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지
이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab)
갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 이력서나 한글 파일 형식 등으로 위장하기도 하였으나 2019년을 지나 2020년 현재는 사실상 자취를 감춘 상태이고, 블루크랩(BlueCrab) 이라는 새로운 랜섬웨어가 기존 갠드크랩과 유사한 방식으로 활발히 유포되고 있는 상황이다. 대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접적으로 언급하며 이에 대해 적극적인 공격을 시도했다. 초기 버전은 단순 문자열을 언급하는 정도였으나 점차 V3 제품 취약점 공개, 제품 삭제 등의 기능으로 진화했다. 한편 안랩 또한 갠드크랩 랜섬웨어의 킬스위치를 공개하는 것을 시작으로 V3 제품을 공격하는 기능이 새롭게 확인될 때마다 이를 보완하기 위해 빠르게 대응했다. 유포 기간 내내 지속된 안랩과 갠드크랩 랜섬웨어 제작자와의 긴 싸움은 국내외 IT 언론을 통해 몇 차례 보도된 바 있지만 지금까지 공개되었던 내용은 극히 일부이다. 이번 ASEC리포트 보고서에는 ASEC 분석팀이 추적•분석한 내용을 바탕으로 그동안 민감 정보라는 이유로 공개되지 않았던 안랩과 갠드크랩 간의 사투를 시간순으로 면밀히 살펴보고자 한다. ASEC리포트 Vo.97 PDF https://image.ahnlab.com/file_upload/asecissue_files/ASEC%20REPORT_vol.97.pdf ASEC리포트 https://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCode=VNI001&seq=28878 ASEC Report | AhnLab 최고의 악성코드 분석가 및 보안 전문가 조직인 ASEC(AhnLab Security Emergency response Center)이 최신 보안 위협에 대한 상세한 분석 정보를 제공합니다.
