한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes) Posted By EASTSTON3 , 2023년 5월 25일 AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이와 같은 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다. [그림1] 은 악성코드의 아이콘과 전체적인 실행 그림이다. 악성코드가 실행되어…
EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응 Posted By Bellyoon , 2023년 4월 28일 AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다. LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 정상 pdf파일 사용자가 감염되고 있는 것을 모르게 악성 행위를 수행한다. 안랩 EDR에서는 악성 LNK파일이 사용자의 시스템에 유입되어 실행할 경우 아래와 같이 의심스러운 파워셀 실행을 탐지하고 있다. 위 그림에서 아래 cmd.exe를 클릭해보면 아래 그림과 같이 .bat파일 실행 이력과 bat파일의 명령어를 확인할 수 있다. 배치(.bat)파일에 의해 의심스럽게…
EDR을 활용한 3CX 공급망 침해 사고 추적 Posted By muhan , 2023년 4월 28일 지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll, d3dcompiler_47.dll가 로드되어 악성 행위를 하였으며 최종적으로 다운로더 쉘코드가 3CXDesktopApp.exe 프로세스의 메모리 상에서 실행되었다. 분석 당시 추가 다운로드 악성코드는 확인되지 않았지만, 정보 유출형 악성코드가 실행된 것으로 알려져 있다. 안랩 EDR(Endpoint Detection…
EDR 제품을 통한 정보 탈취형 악성코드 분석 Posted By EASTSTON3 , 2023년 3월 27일 AhnLab Security Emergency response Center(ASEC)은 유튜브를 통해 유포되는 정보 탈취형 악성코드 분석 보고서를 공개하였다. 유튜브를 통해 유포 중인 정보 탈취형 악성코드 보고서에서 언급하였듯이, 정보 탈취형 악성코드는 다양한 플랫폼을 통해 유포되고 있으며 유출된 정보는 사용자에게 직간접적인 피해를 준다. 정보 탈취형 악성코드에 감염된 경우 피해를 최소화 하기위해 어떤 정보를 어디로 유출했는지 파악하는 것이 중요하다. 안랩 EDR 제품에서는 정보 탈취형 악성코드가 어떤 정보를 탈취하고, 어디로 유출했는지에 대한 기록이 남아있어, 이를 추적하고 추가 피해를 발생하지 않도록 하는데 큰 도움이 된다. 해당 악성코드는 기존 공개한 분석…
EDR을 활용한 CHM 악성코드 추적 Posted By muhan , 2023년 3월 21일 AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및…
