EDR을 활용한 CHM 악성코드 추적 Posted By muhan , 2023년 3월 21일 AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및…
MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 Posted By ohmintaek , 2023년 3월 17일 AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동을 요구된다. [그림 1]은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다. [그림 2]의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다….
EDR을 활용한 Magniber 랜섬웨어 유포지 추적 Posted By cka0 , 2023년 2월 10일 안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다. 특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를 개선하여 적용한 인프라에서 수집되는 정보를 바탕으로 유포지 차단, 파일 진단 등을 통해 피해가 발생하지 않도록 노력하고있다. Magniber 랜섬웨어는 Anti virus 제품의 탐지를 우회하기 위해 지속적으로 변형을 유포하고 있어 실시간 대응을 어렵게 하고 있는만큼 추가 피해를…
원노트(OneNote)로 유포 중인 Qakbot 악성코드 Posted By muhan , 2023년 2월 8일 안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다. 보고서에서 언급하였듯이, 최근 들어 Qakbot과 같은 상업용(Commodity) 악성코드들이 MS 오피스 매크로를 사용하는 기존의 유포 방식을 사용하지 않고, 원노트를 이용하여 악성코드를 실행하는 사례가 점차 많아지고 있다. 지난 02/01에 원노트를 통해 유포된 Qakbot 악성코드의 유포 사례를 보면 공격자는 [그림 2]와 같이 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포하였다. 사용자가 첨부파일을 실행하면 전형적인 MS 오피스 매크로 악성코드와 유사하게 “Open” 버튼 클릭을 유도한다.실제 “Open” 버튼 위치 근처에는 HTA(HTML Application) 개체가 [그림 3]과…
Magniber 랜섬웨어 국내 유포 재개(1/28) Posted By ohmintaek , 2023년 1월 30일 ASEC 분석팀은 01월 28일 오전 매그니베르 랜섬웨어가 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. 아래 그림과 같이 자사 로그 시스템을 통해 확인한 결과 1월 27일을 기점으로 유포량이 증가됨을 확인할 수 있었다. MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi MS.Update.Center.Security.KB44945726.msi 현재 매그니베르가 유포되는 사이트에서는 과거 공유된 MOTW(Mark of the Web)를 이용한 도메인 차단을 우회하기 위해 <a> 태그를 이용하여 다운로드 데이터를 추가하는 방식으로 유포하고있다. 국내 매그니베르 유포에 활용되는 도메인 <a> 태그의 href 를 base64…