빠르게 변화하고 있는 매그니베르(Magniber) 랜섬웨어

Posted By ,

매그니베르(Magniber) 랜섬웨어는 최근 빠르게 변화하고 있다. 확장자 변경부터, 인젝션, UAC 우회 기법까지 최근 매그니베르 랜섬어는 백신의 탐지를 회피하기 위해 빠르게 변형을 보이고 있다. 본 내용에서 기존에 파악되었던 분석내용을 통해 최근 몇 달간 매그니베르(Magniber) 랜섬웨어의 변화를 정리하였다. [표 1]은 매그니베르(Magniber) 랜섬웨어의 날짜별 유포 파일의 주요 특징이다. 4개월간 msi, cpl, jse, js, wsf 5가지 확장자로 유포되었고, 최근 들어 9월은 4차례(cpl -> jse -> js -> wsf -> msi)의 잦은 확장자 변경이 이루어졌다. 날짜 확장자 실행 프로세스 암호화 프로세스 복구 환경 비활성화프로세스 복구…

Word 로 위장한 GuLoader 악성코드 국내 유포

Posted By ,

ASEC 분석팀은 GuLoader 악성코드가 국내 기업 사용자를 대상으로 유포 중인 정황을 포착하였다. GuLoader 는 다운로더 악성코드로, 다양한 악성코드를 다운로드하며 과거부터 꾸준히 변형되어 유포되고 있다. 유포 중인 피싱 메일은 아래와 같으며, HTML 파일이 첨부된 형태이다. 첨부된 HTML 파일을 실행하게 되면, 아래 URL 을 통해 압축 파일이 다운로드된다. 압축 파일 내부에는 IMG 파일이 존재하며, IMG 파일 내부에 GuLoader 악성코드가 존재한다. GuLoader 는 Word 아이콘으로 위장하였으며, 파일 끝에 약 600MB 크기의 Null 값이 추가된 형태이다. 또한, 지난 7월 ASEC 블로그를 통해 소개했던 GuLoader…

ASEC 주간 악성코드 통계 (20221003 ~ 20221009)

Posted By ,

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 3일 월요일부터 10월 09일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 45.0%로 1위를 차지하였으며, 그 다음으로는 인포스틸러 악성코드가 39.6%, 백도어 14.6%, 랜섬웨어 0.4%, 코인마이너가 0.4%로 집계되었다. Top1. SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 22.1%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다.  실행되면 explorer.exe에 자기…

RDP를 이용하는 공격 기법 및 사례 분석

Posted By ,

개요 이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한 원격 제어 도구들에 비해 초기 침투 과정이나 측면 이동에 유용하기 때문이다. 윈도우 운영체제는 원격 데스크탑 서비스(Remote Desktop Services)라고 하는 서비스를 지원하기 때문에 추가적인 원격 제어 도구들을 설치하는 과정 없이 이를…

다양한 원격 제어 도구들을 악용하는 공격자들

Posted By ,

개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인 악성코드 중 하나이다. 백도어는 감염 시스템에 설치되어 공격자로부터 명령을 받아 악성 행위를 수행할 수 있으며 이를 통해 공격자는 감염 시스템을 장악할 수 있다. 이러한 백도어 유형의 악성코드는 단독 시스템뿐만 아니라…