안랩 탐지

안랩 제품 탐지 현황

워드문서로 유포되는 다나봇 악성코드의 EDR탐지

Posted By ,

최근 이메일을 통해 유포되는 문서 악성코드는 수식 편집기 취약점 문서와 외부 External 연결 주소가 포함된 문서가 주로 유포된다. 해당 블로그는 후자의 방식인 외부 External 연결 주소가 포함된 문서로 유포되는 다나봇(Danabot) 악성코드의 감염 흐름을 설명하고, 자사 EDR 제품의 다이어그램을 통해 확인 가능한 증적 및 탐지를 설명한다.  [그림 1]은 External 연결 주소가 포함된 워드문서가 첨부된 스팸메일 본문이다. 본문 내용을 보면 알 수 있듯이 수신자를 속이기 위해 정교하게 위장된 입사 지원서 이메일이다. 첨부된 문서(.docx)는 External 연결 주소가 포함된 워드문서이다.       [그림…

AhnLab EDR을 활용한 IIS 웹 서버 대상 초기 침투 단계 탐지

Posted By ,

현대 인터넷 사회에서는 쇼단 (Shodan)과 같은 네트워크 및 장치 검색 엔진으로 인터넷에 연결된 전 세계의 장치들의 정보 획득이 가능하다. 공격자들은 이러한 검색 엔진을 통해 공격 대상의 정보를 수집하거나 불특정 다수의 장치에 포트 스캔 등의 공격을 수행할 수 있다. 공격자는 정보 수집 결과를 활용하여 대상 시스템의 약점을 찾아 초기 침투를 시도하고 측면 이동과 랜섬웨어 유포 등의 목표를 달성한다. 따라서 기업 보안 담당자는 외부에 노출된 IT 자산이 존재할 경우 지속적인 관리와 비정상적인 행위에 대한 모니터링이 필요하다. AhnLab EDR (Endpoint Detection and Reponse)은…

그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 (MDS 제품 탐지)

Posted By ,

최근 AhnLab SEcurity intelligence Center(ASEC) 에서는 그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 유포를 확인했다. 공격자는 실제 사이트와 유사하게 만든 가짜 사이트를 만들고, 검색 엔진의 광고 기능을 이용해 사용자들에게 노출시켜 유포했다. 검색 엔진의 광고 기능을 이용한 악성코드 유포는 최근 ASEC 블로그  ‘“아니, 여기가 아니었어?” 구글 광고 추적 기능을 악용한 악성코드 유포’ [1] 에서 다룬 바 있다. 해당 악성코드는 보안 솔루션 제품으로부터 탐지되는 것을 회피하기 위해 indirect syscall 기법을 사용한다. Indirect syscall 을 통해 백신 및 분석 프로그램에서 사용하는 사용자 모드 후킹을…

AhnLab EDR을 활용한 웹 브라우저 계정 정보 탈취 악성코드 탐지

Posted By ,

웹 브라우저는 PC를 사용하는 사용자들이 가장 많이 그리고 자주 사용하는 프로그램들 중 하나이다. 사용자들은 주로 검색이나 이메일 수신/발신, 인터넷 쇼핑 등의 웹 서비스를 이용하기 위해 사용하며 이는 개인 사용자뿐만 아니라 기업에서 업무를 수행하는 직원들도 동일하다. 일반적으로 이러한 서비스를 이용하기 위해서는 자신의 계정으로 로그인하는 과정이 필요한데, 각각의 서비스를 매번 사용할 때마다 로그인하는 것은 불편함이 있다 보니 대부분의 웹 브라우저는 자동 로그인 기능을 지원한다. 즉 한 번 로그인하면 이후 계정 정보가 각 애플리케이션의 설정 데이터에 저장되어 지속적인 로그인 과정 없이 이를 사용할…

AhnLab EDR을 활용한 방어 회피 기법 탐지

Posted By ,

일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 예를 들어 최신 윈도우 운영체제 환경에서는 사용자가 추가적으로 설치하지 않더라도 이미 Microsoft Defender와 같은 AntiVirus가 설치되어 있는 환경이 대부분이다. 이에 따라 공격자들은 최초 침투 이후 설치되어 있는 보안 제품을 비활성화하려고 시도하는 경향이 많다. 이는…