안랩 탐지

안랩 제품 탐지 현황

메일을 통해 유포되는 NetSupport 악성코드

 NetSupport RAT은 다양한 공격자들에 의해 사용되고 있다. 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일 및 피싱 페이지에서 유포 통해 유포되고 있다. 피싱 페이지에서의 유포 사례는 이전 블로그를 통해 소개된 바 있다. [1] AhnLab Security Emergency response Center(ASEC)은 최근 유포된 스피어 피싱 메일에서 NetSupport RAT가 유포됨을 확인하였다. 이를 통해 피싱 메일로부터 유포되는 동작 흐름 및 탐지에 관해 설명한다.  [그림 1]은 NetSupport RAT 악성코드를 유포하는 피싱 이메일 본문 내용이다. 메일엔 악성 자바스크립트가 압축되어 “scan16431643.zip” 파일명으로 첨부되어…

MS-SQL 서버를 공격 중인 BAT 파일 확장자 랜섬웨어 분석(Mallox)

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 BAT파일 확장자의 Mallox 랜섬웨어가 유포되고 있는 것을 확인하였다. 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 유포되는 파일 형태가 EXE 파일 확장자와 더불어 Fileless형태인 BAT 파일 확장자도 사용되고 있다. 현재까지 확인된 BAT 파일 확장자 유포 파일은 Remcos RAT 와 Mallox 랜섬웨가 있다. BAT 파일 확장자 유포는 powershell 과 sqlps 를 사용한 사례 2가지 모두 존재한다. sqlps 유포는 기존 ASEC 블로그를 통해 소개한 바 있다. 아래 [그림 1]은 자사 AhnLab Smart Defense(ASD)…

개인을 도청하는 RedEyes 그룹 (APT37)

1.개요 RedEyes(also known as APT37, ScarCruft, Reaper) 그룹은 국가 지원을 받는 APT 조직이며 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등의 개인을 대상으로 공격을 수행한다. 이들의 임무는 특정인들의 일상을 감시하는 것으로 알려져 있다. ASEC(AhnLab Security Emergengy response Center)은 2023년 5월 RedEyes 그룹이 Ably 플랫폼을 악용한 Golang 백도어를 유포 및 마이크 도청 기능을 포함한 이전에 알려지지 않은 새로운 정보 유출 악성코드 사용 정황을 확인하였다.* ABLY[1]는 실시간 데이터 전송 및 메시지를 위한 플랫폼이며 Pub/Sub 메시징, 푸시 알림, 실시간 쿼리, 상태 동기화를…

EDR을 활용한 AgentTesla 추적 및 대응

AhnLab Security Emergency response Center(ASEC)에서는 매주 주간 악성코드 통계를 정리하여 게시하고 있다. 이 중 지속적으로 유포되고 있는 인포스틸러 악성코드인 AgentTesla를 EDR을 활용하여 어떻게 탐지되는지 추적과 대응 방법에 대해 공유하고자 한다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 안랩 EDR 제품에서는 특정 유형의 PE 가 사용자 계정 정보 파일에 접근하는 행위를 위협으로 탐지한다. 계정 정보 탈취 행위 탐지의 상세 정보에서 다이어그램을 확인하면 AgentTesla 의 행위를 추적 할 수 있다. [그림 3]을 확인해보면 AgentTesla는…

EDR을 활용한 프로세스 할로잉(Hollowing) 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 아랫글과 같이, 닷넷 패커의 종류 및 유포 동향 보고서를 공개하였다. 보고서를 통해 알 수 있듯이, 닷넷 패커는 대부분 패커를 통해 감추고 있는 실제 악성 EXE를 로컬에 생성하지 않고, 정상 프로세스에 악성코드를 주입하여 동작시킨다.  최신 닷넷 패커의 종류 및 국내 유포 동향 닷넷 패커는 Remcos, FormBook, ScrubCypt, AsyncRAT 등 여러 악성코드를 유포하는데 최초 유포 파일 또는 중간 단계의 로더 역할로 악용되고 있다. 닷넷 패커에 감춰진 악성 파일이 C2 명령에 따라 제어되는 백도어 유형에 경우 탐지에 어려움이 있을…