악성코드 정보

리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ShellBot 악성코드들이 설치되고 있는 것을 확인하였다. PerlBot이라고도 불리는 ShellBot은 Perl 언어로 개발된 DDoS Bot 악성코드로서 C&C 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. ShellBot은 꾸준히 사용되고 있는 오래된 악성코드로서 최근까지도 다수의 리눅스 시스템들을 대상으로 공격을 수행하고 있다. 1. 리눅스 SSH 서버 대상 공격 캠페인 일반 사용자들의 주요 작업 환경인 데스크탑과 달리 서버는 주로 특정 서비스를 제공하는 역할을 담당한다. 이에 따라 데스크탑 환경에서는 악성코드가 주로 웹 브라우저를 통해…

패스워드 파일로 위장하여 유포 중인 악성코드

AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다.   CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM…

Mallox 랜섬웨어 국내 유포 중

ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 Mallox 랜섬웨어가 유포중인 것을 확인하였다. 이전에도 소개된 바와 같이 취약한 MS-SQL 서버를 대상으로 유포되는 Mallox 랜섬웨어는 자사 통계 기준으로 과거부터 꾸준히 높은 비율로 유포되고 있는 것을 확인할 수 있다. DirectPlay 관련 프로그램으로 위장한 악성코드는 닷넷으로 빌드된 파일로 [그림 3]과 같이 특정 주소로 접속하여 추가 악성코드를 다운로드해 메모리 상에서 동작시킨다. 이 과정에서 특정 주소에 접속이 되지 않을 경우 무한 반복문을 통해 접속을 시도한다. 본 블로그에서 소개하는 악성코드 역시 현재는 추가 악성코드를 다운로드하는 주소에…

대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky)

ASEC(AhnLab Security Emergency response Center)은 최근 Kimsuky 그룹에서 제작한 것으로 추정되는 CHM 악성코드를 확인하였다. 해당 악성코드 유형은 아래 ASEC 블로그 및 Kimsuky 그룹 유포 악성코드 분석 보고서에서 소개한 악성코드와 동일하며 사용자 정보 유출을 목적으로 한다. Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 – 2022.03.17 코인분실, 급여명세서 위장한 악성 도움말 파일 (*.chm) – 2022.05.11 CHM 파일은 압축 파일 형태로 이메일에 첨부되어 유포된다. 원문 메일에는 대북 관련 내용의 인터뷰 요청으로 위장하였으며 메일 수신인이 이를 수락할…

MS-SQL 서버를 대상으로 하는 Netcat 공격 사례 (LOLBins)

ASEC(AhnLab Security Emergency response Center)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Netcat 악성코드가 유포되고 있는 것을 확인하였다. Netcat은 TCP / UDP 프로토콜로 연결된 네트워크 상에서 특정 대상과 데이터를 송수신하게 해주는 유틸리티이다. 리눅스뿐만 아니라 윈도우 환경에서도 사용 가능하며, 다양한 기능들을 제공하기 때문에 네트워크 관리자뿐만 아니라 공격자들에 의해서도 다양하게 사용되고 있다. 1. Netcat 악성코드 관점에서 Netcat의 특징이라고 한다면 원격 쉘(Remote Shell)로서 사용 가능하다는 점이다. 원격 쉘은 공격 대상이 되는 시스템에 대한 쉘을 제공하여 공격자가 공격 대상 시스템에 대한 제어를 획득할 수…