악성코드 정보

사례비 의뢰서 위장 악성 워드 (External 연결 + VBA 매크로)

문서형 악성코드가 유행이라고 해도 과언이 아닐 만큼 다양한 형태의 악성 문서(HWP, WORD, EXCEL, PDF 등)들이 유포되고있어, ASEC 분석팀에서도 그간 해당 블로그에 다수 관련 내용을 제공해왔다. 그리고 이번에도 새로운 형태의 악성 워드(WORD)문서가 확인되어 이에 대해 알리려한다. ‘사례비지급 의뢰서’로 위장한 악성 워드 형태이며 기존과 조금 다른 점은 악성 External 연결과 VBA 매크로를 동시에 사용했다는 것이다. 앞서 블로그에 소개된 ‘대북관련 본문내용의 악성 워드 문서’들도 단일 파일로는 External 악성 URL 연결만을 수행하였으며 해당 URL에 연결된 곳에서 새로운 문서(매크로)가 연결되어야 동작 할 수 있는 케이스였다….

ASEC 주간 악성코드 통계 ( 20210315 ~ 20210321 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 3월 15일 월요일부터 2021년 3월 21일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 81.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 9.3%, 다운로더가 6.0%, Coin Miner 가 3.2%, 뱅킹 악성코드가 0.4%로 집계되었다. 랜섬웨어는 수량이 줄어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 37.6%로 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는…

국내 MS Exchange Server 취약점 공격 정황 포착 (2)

ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다. MS Exchange Server 취약점에 의해 생성되는 악성 DLL 파일의 경로는 아래와 같으며, 자사에서는 다수의 국내 메일 서버가 해당 취약점 공격을 통해 감염된 상태인 것을 확인하였다. 악성 DLL 생성 경로– Microsoft.NET\Framework64\*\Temporary…

대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서

ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 추가 문서 파일을 다운로드 받는다. XML 내부에 아래 예시와 같이…

V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지

V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다. AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1] 에 해당하는 Windows 10의 구성요소에 통합되어 있다. Microsoft AMSI 문서 : https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal – User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation)– PowerShell (scripts, interactive use,…