NSIS 설치파일 형태의 악성코드에서 사용중인 탐지 우회기법
악성코드 제작자는 백신사로부터 진단되지 않기 위해 다양한 시도를 해왔다. 과거에는 분석하기 어렵게 안티 디버깅 기법을 사용하거나 혹은 안티 VM 기법의 비중이 높았다면 지금은 SandBox를 우회하기 위해 시간 지연 방법 등을 사용한다. 이 글에서 소개될 NSIS(Nullsoft Scriptable Install System)는 윈도우용 인스톨 도구로 스크립트 기반으로 동작하기 때문에 외형이 특성상 정상 NSIS 인스톨러와 동일할 수 밖에
IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태)
CVE-2019-1367 취약점은 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약점이다. MS에서는 해당 취약점에 대해 아래와 같은 위험성을 경고 하고 있다. 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다. 웹 기반 공격 시나리오에서 공격자는 Internet Explorer를 통해 이 취약성을 악용하도록 설계하여 특수 제작된 웹 사이트를 호스트한 다음, 전자 메일을 보내는 식으로 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 1) ASEC 분석팀에서는 CVE-2019-1367 취약점을 악용한 악성코드를 확인하였으며, 취약점 발생 시 주요 행위는 아래와 같다. 취약점이 발현되면 쉘
