안랩 탐지

안랩 제품 탐지 현황

스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla)

AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다.  [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다. 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행을 유도했다. 첨부된 zip 압축 파일 내부에는 [그림 2] 와 같이 배치 스크립트 파일(.BAT)이 포함되어 있다. BAT 파일은 실행시 윈도우 응용프로그램인…

침해당한 시스템의 코인마이너 유포 과정(EDR 탐지)

AhnLab Security Emergency response Center(ASEC)은 침해당한 시스템에서 공격자가 시스템의 리소스를 이용하여 가상 화폐를 채굴하는 코인마이너를 설치하는 과정을 확인하였다. 시스템의 리소스를 이용하여 가상화폐를 채굴하는 코인마이너의 설치 과정을 안랩 EDR 제품을 통해 탐지하는 내용을 소개한다.   그림 1은 침해당한 시스템에서 공격자가 사용한 명령어를 동일하게 사용했다. CMD 프로세스로 파워쉘 명령어를 통해 파워쉘 스크립트를 실행하는 방법이 탐지된 내용을 확인할 수 있다. 직접적인 파일 다운로드가 아닌 스크립트만 문자열로 받아 실행된다.   실행된 파워쉘 스크립트는 base64로 인코딩된 데이터를 복호하여 TEMP 경로에 “nodejssetup-js.exe” 파일명으로 생성 및 실행한다….

저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지)

AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일 정보를 보아 대한민국과 대만에 유포된 것으로 추정된다. 파일명 저작권 침해 관련 영상 이미지.exe 자세한 영상.exe 불법 복제에 관한 자료-OO 엔터테인먼트.exe 涉及侵犯版權的視頻圖像.exe (번역 : 저작권 침해와 관련된 동영상 이미지) 제품 오류…

스팸메일을 통해 유포되는 파일리스 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 스팸메일을 통해 PE 파일(EXE)을 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법의 피싱 캠페인을 발견하였다. hta 확장자로 첨부된 악성코드는 최종적으로 AgentTesla, Remcos, LimeRAT 과 같은 악성코드들을 실행한다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다.  [그림 1]은 해당 악성코드를 유포하는 스팸메일 본문이다. 은행 이체통지서를 위장하여 유포되었으며, 첨부된 ISO 이미지 파일 내부에는 [그림 2] 와 같이 이체 통지서로 위장한 스크립트 파일(.hta)이 포함되어 있다. hta 파일은 실행시 윈도우 응용프로그램인 mshta.exe 에…

세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지)

AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다. 안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일 기반의 위협 탐지 및 격리 기능(MTA)을 제공하고 있다. 아래 [그림 3]은 안랩 MDS 제품의 Guloader 악성코드 탐지 보고서 화면이다. 당시에 Guloader 다운로더 악성코드는 공격자 서버로부터 Remcos 악성코드를 다운로드하였다. Remcos는 스팸…