악성코드 정보

ASEC 주간 악성코드 통계 ( 20211213 ~ 20211219 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 13일 월요일부터 2021년 12월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 63.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 22.0%, 다운로더가 7.5%, 코인마이너가 4.0%, 뱅킹 악성코드와 랜섬웨어가 1.3%, 백도어가 0.4%로 집계되었다. Top 1 – Formbook Formbook은 인포스틸러 악성코드는 25.1%로 1위에 올랐다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. da*ha co.,…

Kimsuky 그룹의 APT 공격사례 (PebbleDash)

최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다. PebbleDash 백도어 공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축 파일을 다운로드 받고 실행하게 유도하였다. 첨부된 zip 압축 파일의 압축을 해제하면 다음과 같이 “준공계.pif” 파일을 확인할 수 있다. 이 악성코드는 실제 악성 행위를 담당하는 PebbleDash 백도어 악성코드를 드랍하는 드로퍼 악성코드이다….

[공지] Log4j 신규 취약점 (CVE-2021-45105) – Log4j 2.17.0

2021년 12월 18일 Log4j 2.16.0 버전에서 동작하는 CVE-2021-45105 취약점이 추가로 공개되었다. (CVSS 7.5) 1. 취약한 제품 버전 Log4j 2.0-beta9 ~ 2.16.0 버전 2. 취약점 공격 기법 취약점 공격은 Log4j를 사용하는 응용 프로그램에서 layout pattern 과 쓰레드 컨텍스트 기능이 사용되는 경우 발생할 수 있다. 취약한 환경과 이 환경을 공격하는 기법은 다음과 같다. 1) 취약한 환경 [설정] 응용 프로그램이 layout pattern에서 쓰레드 컨텍스트를 조회하는 기능을 사용하도록 설정됨 [log4j2.properties 설정 일부] appender.console.type = Consoleappender.console.name = consoleappender.console.layout.type = PatternLayoutappender.console.layout.pattern = !${ctx:loginId}! %m%nrootLogger.level = ALLrootLogger.appenderRef.file.ref…

ASEC 주간 악성코드 통계 ( 20211206 ~ 20211212 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 6일 월요일부터 2021년 12월 12일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 33.3%로 1위를 차지하였으며, 그 다음으로는 코인마이너가 25.3%, 다운로더가 22.8%, RAT (Remote Administration Tool) 악성코드가 16.2%, 뱅킹 악성코드가 1.8%, 랜섬웨어가 0.6%로 집계되었다. Top 1 –  Glupteba 25.33%로 1위를 기록한 Glupteba는 Golang으로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR (모네로) 코인 마이너를…

동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례 

ASEC 분석팀은 최근 Lockis 랜섬웨어 감염 피해를 입은 업체의 피해 시스템들을 분석한 결과, 공격자가 피해 시스템들에 로컬 Administrator 계정으로 RDP 접속 후 랜섬웨어를 실행시킨 것을 확인했다.  피해 시스템들의 로컬 Administrator 정보를 조사한 결과, 1~2년동안 패스워드를 변경하지 않았으며, 모두 동일한 패스워드가 설정돼 있는 것으로 확인됐다.  게다가 해당 NTLM 해시를 복호화한 결과 Administrator 계정의 평문 패스워드는 `1qazxcv 인 것으로 확인됐다. 이 패스워드 문자열은 영문자, 숫자, 특수문자가 모두 포함돼 복잡도 기준은 만족시키는 패스워드지만, 자주 사용되는 패스워드 패턴이라, 추측이 쉬운 안전하지 않은 패스워드였다. 해당 업체는 Microsoft ActiveDirctory를…