ASEC 주간 악성코드 통계 ( 20201207 ~ 20201213 ) Posted on 2020년 12월 14일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 12월 7일 월요일부터 2020년 12월 13일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 56.3%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.5%, Coin Miner가 14.2%를 차지하였다. 뱅킹 악성코드는 9.7%, 다운로더는 2.3%를 차지했으며, 랜섬웨어는 1.1%로 그 뒤를 따랐다. Top 1 – Smokeloader Smokerloader는 인포스틸러 / 다운로더 악성코드로서 18.8%로 1위를 차지했다. Vidar, Glupteba, BeamWinHTTP 등의 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면…
스팸 메일로 유포 중인 NanoCore RAT 악성코드 Posted on 2020년 12월 11일 NanoCore는 RAT(Remote Administration Tool) 악성코드로서 개발자가 과거 2014년부터 제작하기 시작했고 2016년 체포되기 전까지 딥웹을 통해 판매되었다. 하지만 크랙 버전이 공개됨에 따라 개발자가 체포된 후에도 현재까지 꾸준히 공격자들에 의해 사용되고 있다. RAT 악성코드인 NanoCore는 키로깅, 스크린샷 캡쳐, 웹캠 제어와 같은 기능들뿐만 아니라 DDoS, 웹 브라우저 및 이메일 그리고 FTP 클라이언트 계정 정보 수집과 같은 다양한 기능들을 지원한다. NanoCore는 플러그인 기반 악성코드로서 위에서 언급한 거의 모든 기능들이 각각의 플러그인에 구현되어 있다. 즉 공격자가 어떠한 플러그인을 사용하느냐에 따라 다양한 기능들을 사용할 수 있는…
“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정) Posted on 2020년 12월 8일 ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다. 악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다. 악성코드를 생성되는 경로는 다음과 같다. C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe 생성된 파일을 실행시키기 위해 제작자는 문서…
ASEC 주간 악성코드 통계 ( 20201130 ~ 20201206 ) Posted on 2020년 12월 8일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 11월 30일 월요일부터 2020년 12월 6일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 58.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 18.9%, Coin Miner가 14.7%를 차지하였다. 다운로더와 랜섬웨어는 3.2%, 뱅킹 악성코드는 1.1%로 그 뒤를 따랐다. Top 1 – AgentTesla AgentTesla는 24.2%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출…
이미지 파일을 이용한 PHP 웹쉘 악성코드 Posted on 2020년 12월 8일 웹쉘(WebShell)이란 웹 서버에 업로드 되어 파일 탐색이나 시스템 쉘 명령 등을 실행할 수 있게 하는 파일이다. 공격자는 웹 브라우저를 이용해 서버 시스템의 파일을 탐색하고 쉘 명령을 내릴 수 있다. 악의적인 웹쉘 파일이 서버에 업로드 되는 것을 방지하기 위해 업로드 파일 확장자를 제한하는 등의 방법이 있다. 하지만 공격자는 다음과 같은 방법으로 이를 우회할 수 있다. 서버 사이드 스크립트(Server-Side Script)의 확장자 필터링을 우회하는 파일 업로드 GIF, PNG, JPEG 이미지 등 업로드 가능한 확장자 파일에 악성 스크립트를 삽입하여 파일 업로드 본 글은 이…
