![[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록)](https://asec.ahnlab.com/wp-content/uploads/2020/09/buildings-1.png)
[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록)
안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행
GandCrab, Nemty에 이어 동일 외형의 DEATHRansom 국내 발견
2019년 11월 20일 안랩 ASEC 분석팀은 국내에 유포된 DEATHRansom이라는 새로운 랜섬웨어를 발견하였다. 해당 랜섬웨어는 GandCrab, BlueCrab(=Sodinokibi), Nemty와 동일한 패커를 사용하고 있다. 이 패커(Packer)는 작년에 활발히 유포한 GandCrab부터 BlueCrab과 2019년 9월에 발견 된 Nemty 랜섬웨어, 이번에 발견된 DEATHRansom 까지 다양한 랜섬웨어에 사용되고 있다. 이러한 패커형태는 랜섬웨어 뿐만 아니라 사용자 정보탈취 악성코드와
PDF 문서로 위장하여 유포중인 NEMTY2.0 랜섬웨어
2019년 11월 20일 안랩 ASEC 분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 PDF 파일로 위장하여 국내 사용자를 대상으로 유포되고 있는 것을 확인하였다. 해당 랜섬웨어는 과거 워드(DOC)와 한글(HWP) 문서 파일로 위장하여 유포되었던 이력이 존재한다. [그림 1] 과 같이 아이콘 및 파일명을 통해 pdf 문서처럼 보이도록 위장한 것을 확인할 수 있다. 하지만 [그림 2] 와
‘한국국가정보학회 학회장 선거공고’ 내용의 악성 HWP 유포
안랩 ASEC 분석팀은 “제 9대 학회장 선거공고 및 입후보신청서” 제목의 악성 한글문서가 유포된 것을 확인하였다. 한글문서의 내용은 아래와 같고, 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 구조이다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 제 9대 학회장 선거공고 및 입후보신청서.hwp (추정) MD5: e232ee98e0777fe589f600aa6e62d967 SHA256: 72fd996d651baaad444ac7664b39f66e1eb030a924fe3544ff7c7d80dff768ea 한글문서 내용(페이지1, 페이지2) 한글문서 내용(페이지3) 악성 EPS 파일이 존재하는 곳은
포털 사이트의 보안 프로그램으로 위장한 악성코드 주의
안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다. [지능형 지속 공격(Advanced Persistent Threat, APT)] 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다. [그림 1] 피싱
코드 상의 특징을 통해 살펴본 2가지 공격그룹 (한글문서 취약점)
안랩 ASEC 분석팀은 한글 EPS 취약점(CVE-2017-8291)을 이용하는 악성코드에서 쉘코드(ShellCode)를 실행하기 위한 전 단계에서 제작자 실수로 추정되는 코드상의 오류가 확인되었다. 전체 악성코드 동작에는 영향이 없지만, 이러한 코드상의 실수가 2018년부터 최근 한글 문서 악성코드에서도 지속적으로 발견되고 있다. 또한, 이러한 코드상의 실수가 없는 형태도 함께 발견되고 있는 점을 볼 때, 코드상의 특징을 바탕으로
입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe)
2019년 11월 12일 안랩 ASEC분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 이력서로 위장하여 국내 기업을 대상으로 유포된 것을 확인하였다. 해당 랜섬웨어의 1.x 버전의 경우 Tesorion 라는 업체에서 복호화 툴을 제작하여 공개한 이력이 있다. (https://www.tesorion.nl/nemty-update-decryptors-for-nemty-1-5-and-1-6/) 하지만, 현재 사회공학 기법을 통해 국내에 활발하게 유포중인 버전은 2.0으로 이 버전은 아직까지 복구툴이 제공되지 않고있어 사용자 주의가 요구된다.
.bigbosshorse 랜섬웨어 국내발견 (2019.11.10)
안랩 ASEC 분석팀은 랜섬웨어 행위에 대한 모니터링 중 확장자를 .bigbosshorse로 변경하는 랜섬웨어의 국내 감염을 확인하였다. 이 악성코드는 10월 29일에 제작되었으며, 국내에는 11월 10일 첫 피해가 확인되었다. 현재까지 확인된 형태는 두 가지이며, 파일의 등록정보를 보면 아래와 같이 정상 파일로 위장하였다. avgdiagex.exe (특정 백신 파일로 위장, Language: 1029 (체코어), 해외수집 (좌) dllhost.exe
문서 암호가 있는 HWP 한글 파일을 이용한 타겟 공격 증가
문서 암호가 있는 HWP 한글 파일을 이용한 공격이 증가하고 있다. 한글 파일을 이용한 공격은 대부분 특정 인물이나 기관을 대상으로 하는 타겟형 공격이다. 파일을 수신한 대상만 정상적으로 문서를 열 수 있게 메일로 암호를 전달하여, 암호 입력 시 악성 기능이 실행되도록 한다. 문서 암호가 있는 HWP 한글 파일은 이전부터 이미 확인되었지만, 2019년에
개인정보까지 유출하는 STOP 랜섬웨어 변종확인 (.mosk 확장자)
안랩 ASEC 분석팀은 11월 7일에 BlueCrab 랜섬웨어와 동일 외형으로 ANTEFRIGUS 이름의 랜섬웨어를 공개하였다. 이후 하루 만에 외형정보는 동일하나 랜섬노트와 감염방식이 STOP 랜섬웨어와 유사한 형태가 국내에 발견되었다. 감염 시, 확장자가 .mosk 로 변경되는 특징이 있으며 랜섬노트는 아래와 같다. 다양한 형태의 랜섬웨어가 BlueCrab과 동일한 외형으로 유포되는 것을 볼 때, 동일한 유포자에 의해 다양한 랜섬웨어가
