EDR을 활용한 AgentTesla 추적 및 대응
AhnLab Security Emergency response Center(ASEC)에서는 매주 주간 악성코드 통계를 정리하여 게시하고 있다. ASEC 주간 악성코드 통계 (20230522 ~ 20230528) 이 중 지속적으로 유포되고 있는 인포스틸러 악성코드인 AgentTesla를 EDR을 활용하여 어떻게 탐지되는지 추적과 대응 방법에 대해 공유하고자 한다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러
EDR을 활용한 프로세스 할로잉 악성코드 추적
AhnLab Security Emergency response Center(ASEC)은 아랫글과 같이, 닷넷 패커의 종류 및 유포 동향 보고서를 공개하였다. 보고서를 통해 알 수 있듯이, 닷넷 패커는 대부분 패커를 통해 감추고 있는 실제 악성 EXE를 로컬에 생성하지 않고, 정상 프로세스에 악성코드를 주입하여 동작시킨다. https://asec.ahnlab.com/ko/44066/ 닷넷 패커는 Remcos, FormBook, ScrubCypt, AsyncRAT 등 여러 악성코드를 유포하는데 최초
EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다. 링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft) – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격
EDR을 활용한 3CX 공급망 침해 사고 추적
지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll,
EDR 제품을 통한 정보 탈취형 악성코드 분석
AhnLab Security Emergency response Center(ASEC)은 유튜브를 통해 유포되는 정보 탈취형 악성코드 분석 보고서를 공개하였다. https://asec.ahnlab.com/ko/32314/ 보고서에서 언급하였듯이, 정보 탈취형 악성코드는 다양한 플랫폼을 통해 유포되고 있으며 유출된 정보는 사용자에게 직간접적인 피해를 준다. 정보 탈취형 악성코드에 감염된 경우 피해를 최소화 하기위해 어떤 정보를 어디로 유출했는지 파악하는 것이 중요하다. 안랩 EDR 제품에서는 정보 탈취형
EDR을 활용한 CHM 악성코드 추적
AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. 패스워드 파일로 위장하여 유포 중인 악성코드 – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께
MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능
AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이
EDR을 활용한 Magniber 랜섬웨어 유포지 추적
안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다. Magniber 랜섬웨어 국내 유포 재개(1/28) 특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를
최신 매그니베르 랜섬웨어 V3 차단 영상 (AMSI + 메모리진단)
ASEC 분석팀은 지난 9월 8일자 블로그를 통해 매그니베르 변형에 대한 내용을 소개하였다. 9월 16일부터는 매그니베르 랜섬웨어 스크립트가 자바 스크립트 인 것은 동일하지만, 확장자가 기존 *.jse에서 *.js로 변경되었다. 매그니베르가 9월 8일을 기점으로 자바 스크립트로 바뀌면서 동작 방식 또한 기존과 달라졌다. 현재 유포 중인 자바 스크립트 파일 내부에는 [그림 2]와 같은 닷넷
V3 Lite 아이콘을 위장하여 유포되는 악성코드
ASEC 분석팀은 V3 Lite 아이콘을 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 확인하였다. 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 AveMaria RAT와 AgentTesla 악성코드가 확인되었다. 위와 같이 아이콘의 외형 상으로는 실제 V3 Lite 제품의 아이콘과 차이가 없음을 알 수
