악성코드 정보

Lockis 랜섬웨어와 함께 사용된 해킹 툴

안랩 A-FIRST는 지난 11월경 Lockis 랜섬웨어에 감염된 피해 시스템을 대상으로 포렌식 분석을 수행했다. Lockis 랜섬웨어는 러시아 공격 그룹인 TA505가 사용하는 GlobeImposter 랜섬웨어의 변종으로, 지난 9월 16일 처음 등장했다. GlobeImposter 랜섬웨어는 2017년 2월에 처음 등장한 이래로 꾸준히 변종이 증가해 현재까지 총 192개의 변종이 발견됐다. 공격자는 랜섬웨어 감염을 위해 악성 스팸 메일 발송, 익스플로잇 공격, RDP 접속 등의 공격 기법을 사용하는 것으로 알려져 있다. 현재 Lockis 랜섬웨어는 ‘lockisdog.exe’라는 파일명으로 유포되고 있으며, 파일을 암호화하고 확장자를 ‘.lockis’로 변경한다.  이번 사례에서 공격자는 관리자 계정을 이용해…

ASEC 주간 악성코드 통계 ( 20211220 ~ 20211226 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 20일 월요일부터 2021년 12월 26일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 51.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 36.3%, 다운로더가 8.1%, 코인마이너가 2.2%, 랜섬웨어가 1.5%로 집계되었다. Top 1 –  RedLine RedLine 악성코드가 21.5%로 1위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을…

대북 관련 한글문서(HWP) 유포 중

ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체 삽입을 통해 가능한 정상적인 기능이라고 할 수 있다. 감염되면 작업스케줄러를 통해 121분마다 자동 실행되도록 설정되어 있으며, 추가 외부 악성파일을 구글 드라이브(https://drive.google.com)를 통해 다운로드할 수 있는 구조이다. 또한, 동작 과정에서 V3…

“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드

ASEC 분석팀은 크리스마스 시즌을 이용하여 Dridex 악성코드 다운로더로 동작하는 Excel 파일이 유포되는 정황을 확인하였다. Dridex 악성코드가 Excel 파일 매크로를 이용하여 유포되고 있는 내용은 ASEC 블로그를 통해 지속적으로 소개한 바 있다. (본문 하단 링크) Dridex 악성코드는 뱅킹관련 사용자 정보수집 및 공격자의 명령을 받아 악성행위를 수행할 수 있는 뱅킹 악성코드이며, 주로 스팸메일을 통해 유포되어 로더를 거쳐서 실질적인 메인 모듈을 다운로드받아 악성행위를 수행한다. 이번에 확인된 Dridex 악성코드 유포방식은 다음과 같은 흐름과 특징을 갖는다. 불특정다수 일반 사용자를 대상으로 피싱메일이 유포됨 백신탐지 우회 목적으로 문서…

V3 네트워크 탐지 기능에 의한 Log4j 취약점(CVE-2021-44228) 탐지

지난 2021년 12월 10일 Apache Log4j 취약점(CVE-2021-44228)이 공개됨에 따라 Github에 다양한 POC가 업로드되었다. Log4j 취약점은 공격자가 로그 메시지에 악성 클래스 주소를 삽입하여 웹서버에 공격자가 제작한 악성 클래스를 실행 시킬 수 있어 파급력이 크다. 안랩에서는 Log4j 취약점 공격을 탐지하기 위해 네트워크 차단 시그니처를 업데이트 하였으며 아래에서 Log4j 취약점 설명 및 V3 제품 탐지 영상을 공개한다. 1. 취약점 대상 및 버전 다음의 조건들의 제품들은 해당 취약점의 영향을 받는다. Apache Log4j 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전 Apache Log4j 1.2.x의 모든…