악성코드 정보

RDP를 이용하는 공격 기법 및 사례 분석

개요 이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한 원격 제어 도구들에 비해 초기 침투 과정이나 측면 이동에 유용하기 때문이다. 윈도우 운영체제는 원격 데스크탑 서비스(Remote Desktop Services)라고 하는 서비스를 지원하기 때문에 추가적인 원격 제어 도구들을 설치하는 과정 없이 이를…

다양한 원격 제어 도구들을 악용하는 공격자들

개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인 악성코드 중 하나이다. 백도어는 감염 시스템에 설치되어 공격자로부터 명령을 받아 악성 행위를 수행할 수 있으며 이를 통해 공격자는 감염 시스템을 장악할 수 있다. 이러한 백도어 유형의 악성코드는 단독 시스템뿐만 아니라…

라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll)

ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다. DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다. 라자루스 그룹이 악용한 정상 프로세스…

GlobeImposter 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해 취약한 MS-SQL 서버를 대상으로 하는 GlobeImposter 랜섬웨어가 유포되고 있음을 확인하였다. 자사 TIP 서비스의 분기 별 통계 자료 중 올해 ‘2022년 1, 2분기 MS-SQL 대상 악성코드 통계 보고서’에서도 해당 GlobeImposter가 언급되어 있는데, 2분기에서는 MS-SQL 대상 랜섬웨어 중 GlobeImposter가 52.6%의 비중을 차지했다. 곧 공개될 3분기 통계에서도 GlobeImposter 랜섬웨어는 여전히 집계되는 것으로 확인된다. 해당 랜섬웨어는 인코딩 된 내부의 데이터를 [그림 1]의 로직을 통해 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 DLL 파일로 디코딩한다. 이 후, 생성된 DLL 파일의…

Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중

최근 ISO 파일을 통한 악성코드 유포 방식이 증가하고 있다. 그 중 뱅킹형 악성코드인 Qakbot 의 유포 방식이 Excel 4.0 Macro 를 이용하던 것에서 ISO 파일을 이용하는 것으로 변경되어 유포 중인 것을 확인하였다. ASEC 블로그를 통해 Qakbot 외에도 AsyncRAT, IcedID, BumbleBee 악성코드가 ISO 파일을 이용한 사례를 소개해왔는데, 이처럼 최근 악성코드를 유포하는 과정에 ISO 파일을 이용하는 사례가 증가하고 있는 것을 알 수 있다. 먼저, Qakbot 을 유포하는 피싱 메일은 [그림 1] 과 같으며 악성 HTML 파일이 첨부되어 있는 형태이다. 첨부된 HTML 파일을…