악성코드 정보

CHM 악성코드에서 확인된 안티 샌드박스 및 기업 타겟 공격

ASEC 분석팀은 최근 국내 유포 중인 CHM 악성코드에서 안티 샌드박스 기법이 적용된 유형과 기업을 타겟으로 하는 유형이 존재하는 것을 확인하였다. 두 유형 모두 지난 3월과 5월, 아래 ASEC 블로그를 통해 소개한 유형이다. 먼저, 안티 샌드박스 기법이 적용된 CHM 유형은 악성 VBE 파일을 드롭하기 전에 사용자 PC 환경을 검사하게 된다. 악성 CHM 파일 내부에 포함된 HTML 코드는 아래와 같으며, HTML 은 정상 프로그램(EXE)과 악성 DLL 파일을 생성 후 실행하는 기능을 수행한다. DLL 하이재킹 기법을 통해 생성된 악성 DLL 이 로드되며, 해당…

주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190)

Follina라 지칭되는 신규 취약점 CVE-2022-30190이 공개되었다. MS에 따르면 해당 취약점은 Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 원격 코드 실행 취약점이 발생한다. 해당 취약점 발생 시 호출 응용 프로그램의 권한으로 임의 코드를 실행할 수 있으며 추가 프로그램을 설치하거나 데이터 확인 및 변경 또는 삭제가 가능하다. 1. 취약점 악성코드 예시 이 취약점이 확인된 Word문서에서는 기존에 알려진 방식인 External 태그에 작성된 URL 연결을 통해 취약점을 발생시키는 HTML파일이 다운로드 및 실행되면서 발생하였다. (현재는 해당 URL이 활성화되어 있지 않아 추가 동작은…

인터넷 공유기 설치파일 위장한 AppleSeed 유포

ASEC 분석팀은 지난 05월 26일 AppleSeed 악성코드가 공유기 펌웨어 인스톨러로 위장하여 유포되는 정황을 포착하였다. 지금까지 알려진 AppleSeed는 주로 정상 문서 파일이나 그림 파일을 위장하여 유포되었다. AppleSeed를 생성하는 드로퍼 악성코드는 JS(Java Script), VBS(Visual Basic Script)와 같은 스크립트 포맷이 사용되거나 실행 파일 형태도 문서 파일을 위장한 pif 확장자를 가졌지만, 이번 사례에서는 다음과 같이 설치 프로그램을 위장한 아이콘과 파일명이 사용되었다. 파일명 : firmware upgrade installer.exe EXE 실행 파일의 동작 방식은 사용자가 해당 파일을 실행시키면 아래와 같이 특정 공유기의 펌웨어 업그레이드 설치로 위장한 팝업창이…

ASEC 주간 악성코드 통계 ( 20220523 ~ 20220529 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 23일 월요일부터 5월 29일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 76.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.6%, 다운로더 5.2%, 랜섬웨어 1.3%로 집계되었다. Top 1 –  AgentTesla 인포스틸러 악성코드인 AgentTesla 가 32.3%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…

다수의 악성 파일들이 포함되어 있는 NSIS 설치파일 악성코드

ASEC 분석팀은 최근들어 NSIS 설치 파일을 통하여 다수의 악성 파일들을 배포하고 있는 정황을 확인하였다. NSIS는 Nullsoft Scriptable Install System의 약자로 본래는 특정 프로그램의 설치 파일을 제작하기 위한 목적으로 사용되나, 스크립트 기반으로 동작하는 방식이다 보니 외형적으로 NSIS 설치 파일들의 형태가 거의 동일하여 악성코드 제작에 많이 사용되기도 한다. NSIS 설치파일 형태의 악성코드는 예전부터 많이 이용해왔던 방식이며, 이 글에서 다루는 악성코드는 다수의 악성 파일이 하나의 설치파일에 포함되어 있는 형태로, 파일 하나를 실행하면 다양한 악성코드가 실행된다. 해당 NSIS 설치 파일의 내부를 살펴보면 아래와 같이…