MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 Posted By ohmintaek , 2023년 3월 17일 AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동을 요구된다. [그림 1]은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다. [그림 2]의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다….
Nevada 랜섬웨어 국내 유포 중 Posted By ASEC_SK , 2023년 3월 16일 AhnLab Security Emergency response Center(ASEC)은 내부 모니터링 중, Nevada 랜섬웨어의 유포 정황을 확인하였다. Nevada 랜섬웨어는 Rust 기반으로 작성된 악성코드이며 감염 시, 감염된 파일에 “.NEVADA” 확장자가 추가되는 특징을 갖는다. 또한 암호화를 수행한 각 디렉터리에 “README.txt” 이름으로 랜섬노트를 생성하며, 랜섬노트 내에 지불을 위한 Tor 브라우저 링크가 존재한다. 1. Nevada 랜섬웨어 주요 기능 해당 랜섬웨어는 하단의 그림과 같이 세부 실행 방식 지정을 위한 커맨드 기반 옵션을 지원하고 있다. 별도의 옵션을 지정하지 않고 실행 시, 모든 드라이브를 순회하며 암호화만을 진행하지만 “file’, “dir” 옵션 지정을…
ASEC 주간 악성코드 통계 (20230306 ~ 20230312) Posted By ASEC , 2023년 3월 15일 AhnLab Security Emergency response Center(ASEC)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 3월 6일 월요일부터 3월 12일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 52.6%로 1위를 차지하였으며, 그 다음으로는 백도어가 27.6%, 이어서 다운로더 15.7%, 랜섬웨어 3.0%, 코인마이너 0.7%, 뱅킹 악성코드가 0.4% 순으로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 25.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한…
리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드 Posted By Sanseo , 2023년 3월 13일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ShellBot 악성코드들이 설치되고 있는 것을 확인하였다. PerlBot이라고도 불리는 ShellBot은 Perl 언어로 개발된 DDoS Bot 악성코드로서 C&C 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. ShellBot은 꾸준히 사용되고 있는 오래된 악성코드로서 최근까지도 다수의 리눅스 시스템들을 대상으로 공격을 수행하고 있다. 1. 리눅스 SSH 서버 대상 공격 캠페인 일반 사용자들의 주요 작업 환경인 데스크탑과 달리 서버는 주로 특정 서비스를 제공하는 역할을 담당한다. 이에 따라 데스크탑 환경에서는 악성코드가 주로 웹 브라우저를 통해…
패스워드 파일로 위장하여 유포 중인 악성코드 Posted By ye_eun , 2023년 3월 10일 AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다. CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM…
