국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2

AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT” [1] 포스팅과 “국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석” [2] 포스팅을 통해 국내 VPN 업체의 설치 파일에서 SparkRAT 악성코드가 유포된 사례를 공개한 바 있다. ASEC에서는 최근 유사한 악성코드들이 국내 VPN 업체들과 마케팅 프로그램 판매 업체의 설치 파일로 위장하여 유포 중인 것을 확인하였다. 차이점이 있다면 과거 SparkRAT을 설치한 대신 Sliver C2가 공격에 사용되었으며, [3] 탐지를 우회하기 위한 기법들이 함께 사용되었다는 점이다. 현재 기준 해당 업체들 대부분은…

리눅스 시스템을 노리는 Reptile 악성코드

Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 달리 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. Reptile의 지원하는 기능들 중 가장 특징적인 것은 Port Knocking 기법이다. Port Knocking 방식은…

CHM 파일로 유포되는 정보유출 악성코드

AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 정보유출을 목적 하는 유포로 확인되어 소개하고자 한다. 유포일은 금융 기업의 결제일이 25일 예정인 사용자를 기준으로 명세서가 발송되는 지난 17일(월요일)에 금융 기업과 보험사를 사칭하여 유포되었다. 이와 동일한 금융 결제일을 갖는 사용자는 충분히 오해하여 실행할 수 있다. 안랩 EDR 제품에서는 사용자가 오해하여 실행된 신규 악성코드에 대해 실행된 이력을 상세히 기록하고 피해 정황과 유출 파일을 확인할 수 있다….

국내 금융 기업 및 보험사를 사칭한 CHM 악성코드

AhnLab Security Emergency response Center(ASEC) 은 지난 3월 금융 기업 보안 메일을 사칭한 CHM 에 대해 소개했었다. 최근 유사한 방식으로 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 유포가 확인되어 소개하고자 한다. 해당 CHM 파일은 압축된 형태(RAR)로 유포 중이며, 실행 시 각각 아래와 같은 도움말 창을 생성한다. 모두 국내 금융 기업과 보험사를 사칭한 안내문으로 “카드 이용한도”, “보험료 출금결과”, “은행 상품 계약” 내용을 포함하고 있다. 이때 실행되는 악성 스크립트는 아래와 같으며, 기존 악성 CHM 내 스크립트와 차이점이 존재한다. Object 태그와 명령어가…

MS-SQL 서버로 유포되는 PurpleFox

AhnLab Security Emergency response Center(ASEC)은 ASD(AhnLab Smart Defense) 인프라를 통해 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 PurpleFox 악성코드가 설치되고 있는 것을 확인하였다. PurpleFox 악성코드는 추가 악성코드를 다운로드하는 로더 역할을 수행하며 주로 코인 마이너 악성코드를 설치한다고 알려져있다. 악성코드의 기능에 자신을 엄폐하는 루트킷 기능도 포함되어 있어 각별한 주의가 필요하다. 이번에 확인된 PurpleFox 악성코드의 초기 침투 방식은 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 공격이 이루어졌다. 공격자는 아래 [그림 1]과 같이 MS-SQL 서버 관련 프로세스인 sqlservr.exe를 통해 파워쉘을 실행하였다. 위 파워쉘 명령이 실행되면…