CHM 악성코드 유포 변화 탐지 Posted By EASTSTON3 , 2023년 8월 2일 AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 실행방식이 매주 변화하고 있다. 안랩 EDR 제품에서 CHM 악성코드의 변화된 실행이 어떻게 기록되는지 소개한다. [그림 1]은 금융 기업 및 보험사를 사칭한 CHM 악성코드의 실행 방식을 EDR 제품의 탐지 다이어그램이다. 최초 유포의 다이어그램은 [그림 1]의 가장 윗 부분으로 이전 소개한 내용에 포함된다. 윈도우 도움말 파일인 CHM 실행 시 hh 프로세스에 의해 실행된다. 내부 HTML 파일의 스크립트로…
코인 및 투자 관련 내용으로 위장한 악성코드 유포 중 Posted By yeeun , 2023년 7월 31일 AhnLab Security Emergency response Center(ASEC)은 최근 코인 거래소 및 투자 관련 내용으로 위장한 악성코드가 유포되고 있는 것을 확인하였다. 악성코드는 실행 파일 및 워드 문서 형식으로 유포되고 있으며, 악성코드에서 사용하는 User-Agent 명으로 보아 Kimsuky 그룹에서 제작한 것으로 추정된다. 확인된 파일명은 다음과 같다. 날짜 파일명 07.17 20230717_030190045911.pdf .exe 07.28 0728-위**월렛 자금 자동 인출.docx.exe (추정) 07.28 230728 위**팀 – 월렛해킹 공통점.docx.exe (추정) 07.28 위**팀-클라우드사용금지.doc 표1. 확인된 파일명 실행 파일 [표 1]에서 확인된 실행 파일은 워드 문서 및 PDF 아이콘으로 위장하여 정상 문서처럼 보이도록…
국내 개발 업체의 정상 설치 파일을 위장한 악성코드 – EDR 탐지 Posted By Bellyoon , 2023년 7월 30일 AhnLab Security Emergency response Center(ASEC)은 국내 개발 업체의 설치 파일에서 생성되는 악성코드에 대해 소개했었다. 국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2 설치 파일과 함께 악성코드가 유포될 경우 사용자는 악성코드가 같이 실행된 것을 인지하기 어려우며, 정상 프로그램에 인젝션되어 Fileless로 동작하는 특성으로 시그니처 기반의 AV(Anti-Virus) 제품은 이러한 악성코드를 탐지하기 어렵다. 하지만, 엔드포인트에서 발생하는 의심스러운 행위를 모두 기록하고 보고하는 EDR(Endpoint Detection & Response)은 이러한 악성코드의 방어 회피 기법 진화에 발 맞춰 아래와 같이 의심스러운 행위를 탐지하여 보안담당자가 인지할 수 있다. 공격자는…
국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2 Posted By Sanseo , 2023년 7월 25일 AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT” [1] 포스팅과 “국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석” [2] 포스팅을 통해 국내 VPN 업체의 설치 파일에서 SparkRAT 악성코드가 유포된 사례를 공개한 바 있다. ASEC에서는 최근 유사한 악성코드들이 국내 VPN 업체들과 마케팅 프로그램 판매 업체의 설치 파일로 위장하여 유포 중인 것을 확인하였다. 차이점이 있다면 과거 SparkRAT을 설치한 대신 Sliver C2가 공격에 사용되었으며, [3] 탐지를 우회하기 위한 기법들이 함께 사용되었다는 점이다. 현재 기준 해당 업체들 대부분은…
리눅스 시스템을 노리는 Reptile 악성코드 Posted By Sanseo , 2023년 7월 21일 Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 달리 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. Reptile의 지원하는 기능들 중 가장 특징적인 것은 Port Knocking 기법이다. Port Knocking 방식은…
