안랩 탐지

안랩 제품 탐지 현황

EDR을 활용한 AgentTesla 추적 및 대응

AhnLab Security Emergency response Center(ASEC)에서는 매주 주간 악성코드 통계를 정리하여 게시하고 있다. 이 중 지속적으로 유포되고 있는 인포스틸러 악성코드인 AgentTesla를 EDR을 활용하여 어떻게 탐지되는지 추적과 대응 방법에 대해 공유하고자 한다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 안랩 EDR 제품에서는 특정 유형의 PE 가 사용자 계정 정보 파일에 접근하는 행위를 위협으로 탐지한다. 계정 정보 탈취 행위 탐지의 상세 정보에서 다이어그램을 확인하면 AgentTesla 의 행위를 추적 할 수 있다. [그림 3]을 확인해보면 AgentTesla는 %appdata%경로에 파일을 복사하고, Windows Defender 에 탐지되지 않도록 예외 파일로 등록한다. 또한 작업 스케줄러를 통해 지속적으로 실행되도록 설정하는 것을 확인 할 수 있다. 그 후 재귀 실행을 하여 웹브라우저에 저장된 사용자 계정 정보 등을 탈취하고 공격자 IP에 SMTP 포트로 수집된…

EDR을 활용한 프로세스 할로잉(Hollowing) 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 아랫글과 같이, 닷넷 패커의 종류 및 유포 동향 보고서를 공개하였다. 보고서를 통해 알 수 있듯이, 닷넷 패커는 대부분 패커를 통해 감추고 있는 실제 악성 EXE를 로컬에 생성하지 않고, 정상 프로세스에 악성코드를 주입하여 동작시킨다.  최신 닷넷 패커의 종류 및 국내 유포 동향 닷넷 패커는 Remcos, FormBook, ScrubCypt, AsyncRAT 등 여러 악성코드를 유포하는데 최초 유포 파일 또는 중간 단계의 로더 역할로 악용되고 있다. 닷넷 패커에 감춰진 악성 파일이 C2 명령에 따라 제어되는 백도어 유형에 경우 탐지에 어려움이 있을…

한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes)

AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이와 같은 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다. [그림1] 은 악성코드의 아이콘과 전체적인 실행 그림이다. 악성코드가 실행되어…

EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응

AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다. LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 정상 pdf파일 사용자가 감염되고 있는 것을 모르게 악성 행위를 수행한다. 안랩 EDR에서는 악성 LNK파일이 사용자의 시스템에 유입되어 실행할 경우 아래와 같이 의심스러운 파워셀 실행을 탐지하고 있다. 위 그림에서 아래 cmd.exe를 클릭해보면 아래 그림과 같이 .bat파일 실행 이력과 bat파일의 명령어를 확인할 수 있다. 배치(.bat)파일에 의해 의심스럽게…

EDR을 활용한 3CX 공급망 침해 사고 추적

지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll, d3dcompiler_47.dll가 로드되어 악성 행위를 하였으며 최종적으로 다운로더 쉘코드가 3CXDesktopApp.exe 프로세스의 메모리 상에서 실행되었다. 분석 당시 추가 다운로드 악성코드는 확인되지 않았지만, 정보 유출형 악성코드가 실행된 것으로 알려져 있다. 안랩 EDR(Endpoint Detection…