MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어 Posted By ASEC , 2022년 11월 7일 ASEC 분석팀은 지난 10월 13일 매그니베르(Magniber)랜섬웨어의 변화에 대한 글을 공개했다. 현재도 활발하게 유포되는 매그니베르 랜섬웨어는 백신의 탐지를 회피하기 위해 다양한 변화를 해왔다. 이 중 Microsoft 에서 제공하는 파일의 출처를 확인해주는 Mark of the Web(MOTW)을 우회한 것으로 확인된 2022.09.08 ~ 2022.09.29 기간 동안의 스크립트 형태에 대해 소개한다. 날짜 확장자 실행 프로세스 암호화 프로세스 복구 환경 비활성화프로세스 복구 환경 비활성화(UAC 우회) 2022-05-07 msi msiexec.exe msiexec.exe regsvr32.exe fodhelper.exe 실행시 참조 레지스트리 조작(HKCU:\Software\Classes\ms-settings\shell\open\command) 2022-06-14 msi msiexec.exe 실행 중인 프로세스 regsvr32.exe fodhelper.exe 실행시 참조 레지스트리…
6개월만에 Excel 파일을 통해 다시 유포 중인 Emotet 악성코드 Posted By ASEC , 2022년 11월 4일 ASEC 분석팀은 다양한 방식을 통해 변형되어 유포된 Emotet 악성코드에 대해 여러 차례 블로그를 통해 정보를 공개한 바 있다. 최근 Emotet 악성코드의 유포가 다시 활발해진 정황이 확인되었다. 마지막으로 활발한 유포 양상을 보이던 것부터 약 6개월이 지난 시점이며, 당시 유포되었던 Excel 파일과 어떤 부분이 달라졌는지 살펴보려고 한다. 무작위적인 이메일의 첨부파일을 통해 유포되는 것과, Excel 시트에 하얀색 텍스트로 여러 수식을 분산은닉한 뒤 시트숨김 조치를 하는 것은 모두 동일한 방식을 보였다. 흥미로운 점은 이번에 유포된 엑셀 파일들은 지금까지 유포되던 파일들과 몇 가지 다른 특징이…
웹하드를 통해 유포 중인 HackHound IRC Bot Posted By Sanseo , 2022년 11월 4일 웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT, DDoS IRC Bot과 같은 RAT 유형의 악성코드를 설치한다. 공격자들은 위에서 다룬 사례들처럼 주기적으로 다양한 유형의 악성코드를 사용하고 있다. ASEC 분석팀에서는 최근 “HH IRC Bot”이라고 하는 DDoS 봇 악성코드가 유포되고 있는…
진단 회피를 목적으로 교묘하게 조작된 워드파일 유포 (External+RTF) Posted By ASEC , 2022년 11월 3일 MS Office Word 문서의 External 외부 연결 접속을 가능한 점을 이용하여, 추가적인 RTF 악성코드를 유포하는 악성 워드파일은 꽤 오래전부터 지속적으로 확인되어왔다. 하지만, 최근 안티바이러스 제품의 진단을 회피하기 위한 것으로 추정되는 파일들이 국내에 다수 유포되는 정황이 확인되어 이를 알리고자 한다. 업무상 목적으로 위장한 이메일에 워드파일을 첨부한 것은 크게 다르지 않으나, OOXML(Office Open XML) 포맷 내부에서 확인할 수 있는 webSettings.xml.rels 파일에서 특이점이 존재한다. 아래와 같이 문서 실행 시 자동으로 연결되는 External URL은 그동안 유포되던 일반적인 형태의 URL이 아님을 알 수 있다. 해당…
ASEC 주간 악성코드 통계 (20221024 ~ 20221030) Posted By ASEC , 2022년 11월 1일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 24일 월요일부터 10월 30일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.2%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 34.7%, 백도어 19.4%, 랜섬웨어 2.2%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 22.1%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일(SMTP)을 활용하며 FTP나 Discord API 등을…