RDP를 이용하는 공격 기법 및 사례 분석

개요 이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한 원격 제어 도구들에 비해 초기 침투 과정이나 측면 이동에 유용하기 때문이다. 윈도우 운영체제는 원격 데스크탑 서비스(Remote Desktop Services)라고 하는 서비스를 지원하기 때문에 추가적인 원격 제어 도구들을 설치하는 과정 없이 이를…

다양한 원격 제어 도구들을 악용하는 공격자들

개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인 악성코드 중 하나이다. 백도어는 감염 시스템에 설치되어 공격자로부터 명령을 받아 악성 행위를 수행할 수 있으며 이를 통해 공격자는 감염 시스템을 장악할 수 있다. 이러한 백도어 유형의 악성코드는 단독 시스템뿐만 아니라…

라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll)

ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다. DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다. 라자루스 그룹이 악용한 정상 프로세스…

GlobeImposter 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해 취약한 MS-SQL 서버를 대상으로 하는 GlobeImposter 랜섬웨어가 유포되고 있음을 확인하였다. 자사 TIP 서비스의 분기 별 통계 자료 중 올해 ‘2022년 1, 2분기 MS-SQL 대상 악성코드 통계 보고서’에서도 해당 GlobeImposter가 언급되어 있는데, 2분기에서는 MS-SQL 대상 랜섬웨어 중 GlobeImposter가 52.6%의 비중을 차지했다. 곧 공개될 3분기 통계에서도 GlobeImposter 랜섬웨어는 여전히 집계되는 것으로 확인된다. 해당 랜섬웨어는 인코딩 된 내부의 데이터를 [그림 1]의 로직을 통해 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 DLL 파일로 디코딩한다. 이 후, 생성된 DLL 파일의…

ASEC 주간 악성코드 통계 (20220926 ~ 20221002)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 9월 26일 월요일부터 10월 02일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 38.2%로 1위를 차지하였으며, 그 다음으로는 인포스틸러 악성코드가 35.1%, 랜섬웨어 14.7%, 백도어가 11.6%, 코인마이너가 0.4%로 집계되었다. Top 1 –  BeamWinHTTP 16.7%로 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를 설치하고, 동시에 추가 악성코드를 다운로드하여 설치할 수…