국내 개발 업체의 정상 설치 파일을 위장한 악성코드 – EDR 탐지

AhnLab Security Emergency response Center(ASEC)은 국내 개발 업체의 설치 파일에서 생성되는 악성코드에 대해 소개했었다. 국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2 설치 파일과 함께 악성코드가 유포될 경우 사용자는 악성코드가 같이 실행된 것을 인지하기 어려우며, 정상 프로그램에 인젝션되어 Fileless로 동작하는 특성으로 시그니처 기반의 AV(Anti-Virus) 제품은 이러한 악성코드를 탐지하기 어렵다. 하지만, 엔드포인트에서 발생하는 의심스러운 행위를 모두 기록하고 보고하는 EDR(Endpoint Detection & Response)은 이러한 악성코드의 방어 회피 기법 진화에 발 맞춰 아래와 같이 의심스러운 행위를 탐지하여 보안담당자가 인지할 수 있다. 공격자는…

국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2

AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT” [1] 포스팅과 “국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석” [2] 포스팅을 통해 국내 VPN 업체의 설치 파일에서 SparkRAT 악성코드가 유포된 사례를 공개한 바 있다. ASEC에서는 최근 유사한 악성코드들이 국내 VPN 업체들과 마케팅 프로그램 판매 업체의 설치 파일로 위장하여 유포 중인 것을 확인하였다. 차이점이 있다면 과거 SparkRAT을 설치한 대신 Sliver C2가 공격에 사용되었으며, [3] 탐지를 우회하기 위한 기법들이 함께 사용되었다는 점이다. 현재 기준 해당 업체들 대부분은…

리눅스 시스템을 노리는 Reptile 악성코드

Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 달리 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. Reptile의 지원하는 기능들 중 가장 특징적인 것은 Port Knocking 기법이다. Port Knocking 방식은…

CHM 파일로 유포되는 정보유출 악성코드

AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 정보유출을 목적 하는 유포로 확인되어 소개하고자 한다. 유포일은 금융 기업의 결제일이 25일 예정인 사용자를 기준으로 명세서가 발송되는 지난 17일(월요일)에 금융 기업과 보험사를 사칭하여 유포되었다. 이와 동일한 금융 결제일을 갖는 사용자는 충분히 오해하여 실행할 수 있다. 안랩 EDR 제품에서는 사용자가 오해하여 실행된 신규 악성코드에 대해 실행된 이력을 상세히 기록하고 피해 정황과 유출 파일을 확인할 수 있다….

국내 금융 기업 및 보험사를 사칭한 CHM 악성코드

AhnLab Security Emergency response Center(ASEC) 은 지난 3월 금융 기업 보안 메일을 사칭한 CHM 에 대해 소개했었다. 최근 유사한 방식으로 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 유포가 확인되어 소개하고자 한다. 해당 CHM 파일은 압축된 형태(RAR)로 유포 중이며, 실행 시 각각 아래와 같은 도움말 창을 생성한다. 모두 국내 금융 기업과 보험사를 사칭한 안내문으로 “카드 이용한도”, “보험료 출금결과”, “은행 상품 계약” 내용을 포함하고 있다. 이때 실행되는 악성 스크립트는 아래와 같으며, 기존 악성 CHM 내 스크립트와 차이점이 존재한다. Object 태그와 명령어가…