Elbie 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 10월 26일 ASEC 분석팀은 최근 내부 모니터링을 통해 Internet Explorer Add-on 설치 프로그램인 ieinstal.exe로 위장한 Elbie 랜섬웨어가 유포되고 있음을 확인하였다. 초기 실행 파일은 인코딩 된 내부의 데이터를 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 실행 파일로 디코딩 한다. 이 후 재귀 실행한 프로세스에 디코딩 한 실행파일을 인젝션하고, 사용자의 PC가 VM환경인지 확인한다. 인젝션 되어 실행된 랜섬웨어는 %AppData% 경로에 복사본을 드롭하고, 시작 프로그램으로 등록한다. 또한, 시스템 복구를 막는 행위를 수행하기 위해 UAC창을 띄워 관리자 권한을 통한 시도를 유도한다. 관리자 권한을 얻은 프로세스는 2개의 cmd.exe를 실행시켜…
ASEC 주간 악성코드 통계 (20221017 ~ 20221023) Posted By ASEC , 2022년 10월 26일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 17일 월요일부터 10월 23일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 52.7%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 37.0%, 백도어 8.8%, 랜섬웨어 1.0%, 뱅킹 악성코드가 0.5%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 23.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일(SMTP)을 활용하며 FTP나…
VBS를 통해 유포 중인 AgentTesla Posted By ASEC , 2022년 10월 25일 ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다. VBS 스크립트는 메일에 압축 파일 형태로 첨부되어 유포된다. 최근에는 국내 기업을 사칭한 유포 메일도 확인되었다. 압축파일 내부에는 VBS가 존재하며 유포 파일명으로 송장, 제안서 등의 파일명을 주로 사용한다. 확인된 파일명은 다음과 같다. 날짜 파일명 10/05 doc_10049500220529464169750.pdf.vbs 10/07 doc_5246701207754814333490.vbs 10/12 № 106 –…
BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례 Posted By ASEC , 2022년 10월 24일 2022년 4월 안랩은 ASEC 블로그 (INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드, https://asec.ahnlab.com/ko/33706)에서 라자루스 공격 그룹이 악성코드 감염을 위해 INITECH 프로세스를 악용한다는 내용을 소개했다. 본 글에서는 라자루스 공격 그룹이 워터링 홀 기법을 통해 시스템 해킹에 성공 후 내부 네트워크 내의 시스템들을 추가로 해킹하기 위해 드림시큐리티사의 MagicLine4NX 제품의 취약점을 이용하고 있으며, 취약한 드라이버를 이용해 백신 프로그램을 무력화하고 있다는 내용을 공유하고자 한다. 최초 침투 공격자는 피해 시스템에 침투하기 위해 워터링 홀 공격 방식을 사용하고 있다. 국내 웹 사이트를 해킹한 후, 해당…
ASEC 주간 악성코드 통계 (20221010 ~ 20221016) Posted By ASEC , 2022년 10월 21일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 10일 월요일부터 10월 16일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 44.4%로 1위를 차지하였으며, 그 다음으로는 인포스틸러 악성코드가 41.7%, 백도어 12.5%, 랜섬웨어 0.9%, 코인마이너가 0.5%로 집계되었다. Top1. SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 18.1%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면 explorer.exe에 자기…
