AhnLab EDR을 활용한 Proxy 도구 탐지
공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다. 하지만 감염
원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지 (2)
원격 제어 도구는 RAT(Remote Administration Tool)라고도 부르며 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 최근 최초 침투 과정이나 측면 이동 과정에서 공격 대상 시스템을 제어하기 위해 백도어 악성코드 대신 원격 제어 도구들을 설치하는 사례들이 늘어나고 있다. 이는 방화벽이나 탐지를 우회하기 위한 의도적인 목적인데 AntiVirus 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을
AhnLab EDR을 활용한 BlueKeep 공격 탐지
BlueKeep(CVE-2019-0708)은 2019년 5월에 공개된 취약점으로, 클라이언트와 서버 간의 RDP(Remote Desktop Protocol) 연결 과정에서 발생한다. 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송하면, Use-After-Free 취약점이 발생하여 원격 코드 실행이 가능해진다.[1] 이 취약점은 최근까지도 ASEC 블로그에서도 다뤄졌으며[2], APT 그룹이 이를 활용하고 있다. 여기에서는 최근 AhnLab EDR(Endpoint Detection and Response)에서 탐지된 BlueKeep 취약점에 대해 설명한다.
AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지
BPFDoor는 Berkeley Packet Filter (BPF)를 활용한 백도어 악성코드로서 2021년 PWC 사의 위협 보고서를 통해 최초로 공개되었다. [1] 보고서에 따르면 중국 기반의 공격자인 Red Menshen이 중동 및 아시아를 대상으로 한 공격에 수년간 BPFDoor를 사용해 왔으며 최근에는 소스 코드가 공개되기도 하였다. BPFDoor는 BPF를 악용하여 공격자가 매직 패킷을 보내는 방식으로 동작이 가능하다.
AhnLab EDR을 활용한 리눅스 지속성 유지 기법 탐지 (1)
지속성 유지 기법은 공격자가 시스템에 침투한 이후 지속적인 활동을 유지하기 위해 사용하는 기법이다. 한 번의 침해로 모든 목표를 달성하기 어려울 수 있기 때문에 공격자는 시스템에 다시 접근할 수 있는 방식을 보장하길 원할 수 있다. 이에 따라 악성코드가 시스템의 재부팅 이후에도 동작할 수 있도록 다양한 방식들을 통해 설정하거나 백도어 계정을 설치하는
SnakeKeylogger 악성코드의 EDR 탐지
1. 개요 SnakeKeylogger는 닷넷 언어로 제작된 Infostealer 유형의 악성코드로, 이메일, FTP, SMTP 또는 Telegram 등을 이용한 데이터 유출 방법을 가지고 있는 것이 특징이다. SnakeKeylogger는 과거부터 스팸 메일로 꾸준히 유포되고 있으며, 해당 악성코드에 대한 분석을 ASEC Blog에서도 다룬 바[1] 있다. 이번 글에서는 앞서 포스팅 한 글에서 분석된 SnakeKeylogger의 악성 행위를 자사
AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (2)
이전 블로그 “AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (1)” [1] 에서는 공격자 및 악성코드가 리눅스 서버를 공격한 이후 방화벽이나 보안 모듈과 같은 보안 서비스를 무력화하고 설치한 악성코드들을 은폐하는 방식들을 다루었다. 여기에서는 이전 블로그에서 다루지 않은 리눅스 대상 방어 회피(Defense Evasion) 기법들을 추가적으로 다룬다. 예를 들어 악성코드를
AhnLab EDR을 활용한 리눅스 대상 방어 회피 공격 탐지 (1)
일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 이에 따라 공격자들은 최초
AhnLab EDR을 활용한 리눅스 SSH 서비스 대상 공격 탐지
Secure SHell (SSH)은 보안 터미널 연결을 위한 표준 프로토콜로서 일반적으로 원격에 위치한 리눅스 시스템을 제어하기 위한 목적으로 사용된다. 개인 사용자들이 데스크톱 목적으로 사용하는 윈도우 운영체제와 달리 리눅스 시스템은 주로 웹이나 데이터베이스, FTP, DNS 등의 서비스를 제공하는 서버로서의 역할을 담당한다. 물론 윈도우 또한 데스크톱만 지원하는 것이 아니라 이러한 서비스를 제공하는 서버로서의
AhnLab EDR을 활용한 MS-SQL 서버 대상 공격 탐지
외부 인터넷에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버는 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 스캐닝 한 후 무차별 대입 공격이나 사전 공격을 통해 관리자 권한으로 로그인할 수 있다. 여기까지의 과정이 끝나면 공격자들은 다양한 방식을 통해 악성코드를 설치하여
