스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla) Posted By ohmintaek , 2023년 9월 27일 AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다. 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행을 유도했다. 첨부된 zip 압축 파일 내부에는 [그림 2] 와 같이 배치 스크립트 파일(.BAT)이 포함되어 있다. BAT 파일은 실행시 윈도우 응용프로그램인…
비정상적 인증서를 가진 정보탈취 악성코드 유포 중 Posted By KDH , 2023년 9월 26일 최근 비정상적인 인증서를 사용한 악성코드가 다수 유포되고 있다. 악성코드는 통상 정상 인증서로 위장하는 경우가 많지만, 해당 악성코드는 인증서 정보를 무작위로 입력하였으며 그중 Subject Name 항목과 Issuer Name 항목은 비정상적으로 문자열 길이를 길게 하였다. 때문에 윈도우 운영체제 상에서는 인증서 정보가 보이지 않으며 특정 툴 혹은 인프라를 통해야 해당 인증서 구조를 확인 가능하다. 물론 인증서가 올바르지 않기 때문에 서명 검증에 실패하며, 서명 기능으로서의 이점은 가질 수 없다. 하지만 서명 문자열을 살펴보면 일반적인 영문 문자열 구조가 아닌 아랍어, 일본어 등의 비영문 언어와 특수문자,…
침해당한 시스템의 코인마이너 유포 과정(EDR 탐지) Posted By EASTSTON3 , 2023년 9월 20일 AhnLab Security Emergency response Center(ASEC)은 침해당한 시스템에서 공격자가 시스템의 리소스를 이용하여 가상 화폐를 채굴하는 코인마이너를 설치하는 과정을 확인하였다. 시스템의 리소스를 이용하여 가상화폐를 채굴하는 코인마이너의 설치 과정을 안랩 EDR 제품을 통해 탐지하는 내용을 소개한다. 그림 1은 침해당한 시스템에서 공격자가 사용한 명령어를 동일하게 사용했다. CMD 프로세스로 파워쉘 명령어를 통해 파워쉘 스크립트를 실행하는 방법이 탐지된 내용을 확인할 수 있다. 직접적인 파일 다운로드가 아닌 스크립트만 문자열로 받아 실행된다. 실행된 파워쉘 스크립트는 base64로 인코딩된 데이터를 복호하여 TEMP 경로에 “nodejssetup-js.exe” 파일명으로 생성 및 실행한다….
국세청을 사칭한 악성 LNK 유포 Posted By gygy0101 , 2023년 9월 14일 AhnLab Security Emergency response Center(ASEC) 에서는 국세청을 사칭한 악성 LNK 파일이 국내 유포되고 있는 정황을 확인하였다. LNK 를 이용한 유포 방식은 과거에도 사용되던 방식으로 최근 국내 사용자를 대상으로 한 유포가 다수 확인되고 있다. 최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된 URL 은 아래와 같으며, “종합소득세 신고관련 해명자료 제출 안내.zip” 명의 압축 파일이 다운로드된다. 분석 당시에는 다운로드된 압축 파일 내 악성 LNK 파일과 정상 한글 문서 2개가 존재했다. 현재는 해당 URL…
MS-SQL 서버를 공격하는 HiddenGh0st 악성코드 Posted By Sanseo , 2023년 9월 14일 Gh0st RAT은 중국의 C. Rufus Security Team에서 개발한 원격 제어 악성코드이다. [1] 소스 코드가 공개되어 있기 때문에 악성코드 개발자들이 이를 참고하여 다양한 변종들을 개발하고 있으며 최근까지도 지속적으로 공격에 사용되고 있다. 비록 소스 코드가 공개되어 있지만 Gh0st RAT은 중국 기반의 공격자들이 주로 사용하는 것이 특징이다. 이전 블로그에서도 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 Gh0st RAT의 변종인 Gh0stCringe RAT이 유포된 사례를 공개한 바 있다. [2] 다양한 Gh0st RAT 변종들은 MS-SQL 서버를 대상으로 하는 공격에도 자주 사용된다. AhnLab Security Emergency response Center(ASEC)에서는 부적절하게 관리되고…