악성코드 정보

ASEC 주간 악성코드 통계 ( 20200622 ~ 20200628 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 22일 월요일부터 2020년 6월 28일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 43.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 14.6%, 랜섬웨어 악성코드가 8.7%를 차지하였다. Banking과 다운로더 악성코드는 8.3%, 2.1%로 그 뒤를 따랐다. 특이사항으로는 현재 기타로 분류되어 있지만 뒤에서 언급할 Glupteba 마이너 악성코드가 19.1%를 차지해 AgentTesla 악성코드와 함께 가장 많은 비율을 차지하였다. Top 1 –  AgentTesla 19.4%를 차지하는 AgentTesla는 웹…

해양분야 관련 한글(HWP) 악성코드 유포 중

ASEC 분석팀은 지난 5월 “악성 한글문서(.hwp) 주제별 연관성 분석“이라는 제목으로 분석 정보를 공유하였다. https://asec.ahnlab.com/1325 금일 확인된 한글 악성코드는 위 게시글에서 언급한 3가지 주제 중 “해양분야”에 속하며, 5월에 유포된 EPS 코드와 비교하였을 때 EPS 코드 인코딩을 하지 않은 것이 특징이다. 이는 보안 제품 탐지 우회를 위해 EPS 코드 패턴을 달리한 것으로 추정된다. 전체적인 쉘코드 실행 방식은 지난 5월에 유포된 악성코드(“부동산 투자관련 메일로 유포 중인 한글 악성코드“)와 상당히 유사하였다. https://asec.ahnlab.com/1323 쉘코드가 동작하면 %appdata%MicrosoftInternet Explorer 경로에 security.vbs가 생성되어 추가 악성 DLL을 다운로드 받아…

구글 키워드 검색 시, 피싱 페이지 통한 CoinMiner 유포 중

구글에서 크랙, 키젠, 시리얼 번호 등의 키워드 검색 시, 상단에 노출되는 피싱 페이지를 통해 암호화폐 채굴을 위한 마이너(Miner) 악성코드가 유포 중이다. 관련 자료는 작년 12월 경 Avira에서도 공개한 바 있으며, 피싱 페이지의 경우 한국어 페이지로도 제공되어 국내 사용자들도 상당수 감염된 것이 확인되었다. [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] 구글 검색을 통해 감염이 이루어지는 전체적인 흐름은 아래의 그림과 같다. 감염 흐름도 피싱 페이지에서 악성코드가 포함된 압축 파일(*.ZIP)을 다운로드 받고 내부의 실행파일(*.EXE)을 실행할 경우, 위의 과정을 거쳐서 결국 “TiWorker.exe”라는 프로세스에 의해 코인 마이닝(암호화폐 채굴)이 진행된다….

Avaddon 랜섬웨어 유포 스크립트 및 V3 행위탐지

지난 6월 26일 “RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)“라는 제목으로 블로그를 통해 분석 정보를 공유하였다. ASEC 분석팀은 금일 이 Avaddon 랜섬웨어 유포에 사용된 자바 스크립트 파일을 확인하여 이에 대한 내용과 해당 유포에 사용된 방법이 V3 행위탐지에 의해 사전 차단되는 내용을 소개하고자 한다. https://asec.ahnlab.com/1338 아래의 코드가 실제 해당 랜섬웨어 유포에 사용된 코드이다. Powershell, bitsadmin 및 FTP를 이용한 외부파일 다운로드 기능을 사용하였다.  [유포 자바스트립트 파일1] [유포 자바스크립트 파일2] 각각의 유포 스크립트에서 파일 다운로드 시, 파일마다 같은 다운로드 주소를 사용하지만 다운로드 된 파일을 저장할 때에는 각각 다른 이름으로 저장된다….

RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)

6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당 랜섬웨어가 국내에도 유포 중인 것이 확인되었다. (6월 7일) sensorstechforum.com/avaddon-virus-remove/ (6월 8일) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/ 아래의 그림은 RigEK 에 대한 V3 제품의 행위탐지 로그 수를 나타낸다. 1153은 행위탐지 룰 번호를 나타내며, 6월 8일부터 건 수가 급격하게 증가한 것을 알 수 있다. RigEK 행위탐지 발생 건 수 RigEK 이용하여 다양한 악성코드가 유포 중인 가운데 Avaddon 랜섬웨어가 확인되어…