워드문서로 유포되는 다나봇 악성코드의 EDR탐지
최근 이메일을 통해 유포되는 문서 악성코드는 수식 편집기 취약점 문서와 외부 External 연결 주소가 포함된 문서가 주로 유포된다. 해당 블로그는 후자의 방식인 외부 External 연결 주소가 포함된 문서로 유포되는 다나봇(Danabot) 악성코드의 감염 흐름을 설명하고, 자사 EDR 제품의 다이어그램을 통해 확인 가능한 증적 및 탐지를 설명한다. [그림 1]은 External 연결 주소가
AhnLab EDR을 활용한 IIS 웹 서버 대상 초기 침투 단계 탐지
현대 인터넷 사회에서는 쇼단 (Shodan)과 같은 네트워크 및 장치 검색 엔진으로 인터넷에 연결된 전 세계의 장치들의 정보 획득이 가능하다. 공격자들은 이러한 검색 엔진을 통해 공격 대상의 정보를 수집하거나 불특정 다수의 장치에 포트 스캔 등의 공격을 수행할 수 있다. 공격자는 정보 수집 결과를 활용하여 대상 시스템의 약점을 찾아 초기 침투를 시도하고
그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 (MDS 제품 탐지)
최근 AhnLab SEcurity intelligence Center(ASEC) 에서는 그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 유포를 확인했다. 공격자는 실제 사이트와 유사하게 만든 가짜 사이트를 만들고, 검색 엔진의 광고 기능을 이용해 사용자들에게 노출시켜 유포했다. 검색 엔진의 광고 기능을 이용한 악성코드 유포는 최근 ASEC 블로그 ‘“아니, 여기가 아니었어?” 구글 광고 추적 기능을 악용한 악성코드 유포’
AhnLab EDR을 활용한 웹 브라우저 계정 정보 탈취 악성코드 탐지
웹 브라우저는 PC를 사용하는 사용자들이 가장 많이 그리고 자주 사용하는 프로그램들 중 하나이다. 사용자들은 주로 검색이나 이메일 수신/발신, 인터넷 쇼핑 등의 웹 서비스를 이용하기 위해 사용하며 이는 개인 사용자뿐만 아니라 기업에서 업무를 수행하는 직원들도 동일하다. 일반적으로 이러한 서비스를 이용하기 위해서는 자신의 계정으로 로그인하는 과정이 필요한데, 각각의 서비스를 매번 사용할 때마다
AhnLab EDR을 활용한 방어 회피 기법 탐지
일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 예를 들어 최신 윈도우
AhnLab EDR을 활용한 Kimsuky 그룹의 스피어 피싱 공격 탐지 (AppleSeed, AlphaSeed)
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
AhnLab EDR을 활용한 데이터 유출 단계 탐지 (랜섬웨어 공격자들)
랜섬웨어 공격자들은 조직의 내부 네트워크를 장악한 이후 랜섬웨어를 배포해 시스템들을 암호화하며 복구를 위한 금전을 요구하는 방식으로 수익을 얻었다. 하지만 최근에는 시스템들을 암호화하는 것 외에도 조직의 내부 데이터를 유출한 이후 대가를 지불하지 않을 시 이를 공개하겠다는 협박을 함께 사용하고 있다. 일반적으로 랜섬웨어 공격자들은 데이터들을 수집한 이후 이를 압축하고 외부에 유출한다. 데이터를
AhnLab MDS를 활용한 계정 정보 탈취 악성코드 탐지 (웹 브라우저, 이메일, FTP)
일반적으로 사용자들은 편의를 위해 웹 브라우저나 이메일 / FTP 클라이언트와 같은 프로그램들에서 자동 로그인 기능을 사용하며 결과적으로 각 프로그램들은 설정 데이터에 사용자의 계정 정보들을 저장한다. 이러한 기능은 사용자에게 편의성을 주지만 보안상 문제점도 존재하는데 공격자에 의해 사용자의 계정 정보가 쉽게 탈취당할 수 있기 때문이다. 만약 악성코드나 공격자가 감염 시스템에 대한 제어를
EDR을 이용한 다양한 LSASS 자격 증명 덤핑 방식들 탐지
AhnLab SEcurity intelligence Center(ASEC)은 “도메인 환경에서 EDR을 활용한 자격 증명 정보 탈취 단계 탐지” [1] 블로그를 통해 공격자가 액티브 디렉터리 환경에 속한 시스템을 장악한 이후 자격 증명 정보를 탈취하는 다양한 방식들을 다루었다. 여기에서는 자격 증명 정보 탈취 방식 중 LSASS 프로세스의 메모리에 저장되어 있는 NT Hash(NTLM 인증 프로토콜에서 사용하는 해시)를
도메인 환경에서 EDR을 활용한 자격 증명 정보 탈취 단계 탐지
“도메인 환경에서 EDR을 활용한 내부 정찰 단계 탐지” [1] 포스팅에서는 공격자가 액티브 디렉터리 환경에 속한 시스템을 장악한 이후 내부 네트워크를 정찰하여 정보를 수집하는 과정을 EDR을 활용하여 탐지하는 사례들을 다루었다. 조직의 인프라가 액티브 디렉터리(Active Directory)를 사용하는 환경인 경우 공격자는 내부 정찰 단계를 거쳐 도메인 환경의 정보를 수집하고 자격 증명 정보를 탈취한
