코인 마이너를 설치하는 Shc 리눅스 악성코드

Posted By ,

ASEC 분석팀은 최근 Shc로 개발된 리눅스 악성코드가 코인 마이너 악성코드를 설치하고 있는 것을 확인하였다. 공격자는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 사전 공격을 통해 인증에 성공한 뒤 다양한 악성코드들을 설치한 것으로 추정되며, Shc 다운로더 악성코드와 이를 통해 설치되는 XMRig 코인 마이너 그리고 Perl로 개발된 DDoS IRC Bot이 확인된다. 1. Shc (Shell Script Compiler) Shc는 Shell Script Compiler의 약자로서 Bash 쉘 스크립트를 ELF 실행 파일 포맷으로 변환해 주는 역할을 한다. Bash는 리눅스 운영체제에서 제공하는 기본 쉘로서 Bash 쉘이 지원하는 명령들은…

인포스틸러 공격자들이 수익을 얻는 방식

Posted By ,

인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다. 2022년 3분기 ASEC 리포트에 따르면, 인포스틸러는 실행 파일 포맷 기준 고객사로부터 접수되거나 수집된 악성코드 유형 중 절반이 넘는 수를 차지하고 있다. 다운로더 유형의 악성코드들도 실질적으로 인포스틸러나 백도어 유형의 악성코드들을 설치하기 때문에 유포되는 수량으로 따지자면 일반 사용자나 기업 사용자들을 대상으로 하는 공격의 대부분을 차지한다고 할 수 있다.[1] 일반적으로 인포스틸러는 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의…

ASEC 주간 피싱 이메일 위협 트렌드 (20221211 ~ 20221217)

Posted By ,

ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2022년 12월 11일부터 12월 17일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge) 뜻한다….

ASEC 주간 악성코드 통계 (20221212 ~ 20221218)

Posted By ,

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 12월 12일 월요일부터 12월 18일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 61.9%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 24.7%, 백도어 12.5%, 랜섬웨어 0.9%로 집계되었다. Top 1 – SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 28.9%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면 explorer.exe에 자기 자신을…

최신 닷넷 패커의 종류 및 국내 유포 동향

Posted By ,

[TOC] 0. 개요 본 내용은 TI 보고서 ‘최신 닷넷 패커의 동향 및 분류 보고서‘를 축약한 내용으로 자세한 내용은 가장 하단의 링크를 통해 확인할 수 있다. 최근 닷넷으로 만들어진 패커가 국내와 국외 많은 곳에서 확인되고 있다. 따라서 ASEC 분석팀에서는 국내에 주로 유포되는 다섯 종류의 닷넷(.NET) 패커에 대해 소개하고 국내 유포 동향을 설명할 것이다. 따라서 닷넷 패커로 유포되는 악성 코드의 종류에 대해 간략히 소개하고, 이 문서만의 패커의 흐름도를 실제 패커를 예시로 설명한다. 이후 각 패커의 특징을 파악 후 국내 동향을 살펴보는 것으로…