안랩 탐지

안랩 제품 탐지 현황

세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지)

AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다. 안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일 기반의 위협 탐지 및 격리 기능(MTA)을 제공하고 있다. 아래 [그림 3]은 안랩 MDS 제품의 Guloader 악성코드 탐지 보고서 화면이다. 당시에 Guloader 다운로더 악성코드는 공격자 서버로부터 Remcos 악성코드를 다운로드하였다. Remcos는 스팸…

CHM 악성코드 유포 변화 탐지

AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 실행방식이 매주 변화하고 있다. 안랩 EDR 제품에서 CHM 악성코드의 변화된 실행이 어떻게 기록되는지 소개한다.   [그림 1]은 금융 기업 및 보험사를 사칭한 CHM 악성코드의 실행 방식을 EDR 제품의 탐지 다이어그램이다. 최초 유포의 다이어그램은 [그림 1]의 가장 윗 부분으로 이전 소개한 내용에 포함된다. 윈도우 도움말 파일인 CHM 실행 시 hh 프로세스에 의해 실행된다. 내부 HTML 파일의 스크립트로…

국내 개발 업체의 정상 설치 파일을 위장한 악성코드 – EDR 탐지

AhnLab Security Emergency response Center(ASEC)은 국내 개발 업체의 설치 파일에서 생성되는 악성코드에 대해 소개했었다. 국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2 설치 파일과 함께 악성코드가 유포될 경우 사용자는 악성코드가 같이 실행된 것을 인지하기 어려우며, 정상 프로그램에 인젝션되어 Fileless로 동작하는 특성으로 시그니처 기반의 AV(Anti-Virus) 제품은 이러한 악성코드를 탐지하기 어렵다. 하지만, 엔드포인트에서 발생하는 의심스러운 행위를 모두 기록하고 보고하는 EDR(Endpoint Detection & Response)은 이러한 악성코드의 방어 회피 기법 진화에 발 맞춰 아래와 같이 의심스러운 행위를 탐지하여 보안담당자가 인지할 수 있다. 공격자는…

CHM 파일로 유포되는 정보유출 악성코드

AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 정보유출을 목적 하는 유포로 확인되어 소개하고자 한다. 유포일은 금융 기업의 결제일이 25일 예정인 사용자를 기준으로 명세서가 발송되는 지난 17일(월요일)에 금융 기업과 보험사를 사칭하여 유포되었다. 이와 동일한 금융 결제일을 갖는 사용자는 충분히 오해하여 실행할 수 있다. 안랩 EDR 제품에서는 사용자가 오해하여 실행된 신규 악성코드에 대해 실행된 이력을 상세히 기록하고 피해 정황과 유출 파일을 확인할 수 있다….

MS-SQL 서버로 유포되는 PurpleFox

AhnLab Security Emergency response Center(ASEC)은 ASD(AhnLab Smart Defense) 인프라를 통해 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 PurpleFox 악성코드가 설치되고 있는 것을 확인하였다. PurpleFox 악성코드는 추가 악성코드를 다운로드하는 로더 역할을 수행하며 주로 코인 마이너 악성코드를 설치한다고 알려져있다. 악성코드의 기능에 자신을 엄폐하는 루트킷 기능도 포함되어 있어 각별한 주의가 필요하다. 이번에 확인된 PurpleFox 악성코드의 초기 침투 방식은 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 공격이 이루어졌다. 공격자는 아래 [그림 1]과 같이 MS-SQL 서버 관련 프로세스인 sqlservr.exe를 통해 파워쉘을 실행하였다. 위 파워쉘 명령이 실행되면…