매크로 악성코드

파일리스로 동작하는 Remcos RAT 악성코드

ASEC 분석팀은 악성 Excel 매크로파일을 통해 Remcos RAT 악성코드가 유포되는 것을 확인하였다. Remcos RAT 악성코드에 대해서는 본문 하단에 링크한 게시글을 통해 상세하게 소개한 바 있다. 스팸메일을 통해 유입되는 방식은 동일하지만, 여러 단계의 로더를 거쳐서 최종적으로 Remcos RAT 악성코드가 파일리스로 동작한다는 것이 주목할 부분이라고 할 수 있다. 전체적인 동작 방식을 요약하면 아래 그림과 같다. 공격자는 메일의 첨부 파일을 통해 악성 매크로가 포함된 Excel 파일을 유포하는데, 매크로가 실행이 되면 PowerShell 을 이용하여 JS 파일과 추가 데이터를 내려받는다. 이후 Remcos RAT 악성코드는 윈도우…

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…

사회공학 기법 사용하는 매크로 악성코드 주의

매크로 악성코드 증가   매크로 바이러스는 1994년 처음 개념 증명(Proof of concept) 되었고 1995년 컨셉(WM/Concept) 바이러스를 시작으로 2000년 초까지 극성을 부렸다. 매크로 악성코드의 피해가 커지면서 마이크로소프트사는 오피스 2000부터 매크로 기능을 기본적으로 사용하지 못하게 하면서 거의 사라졌다. 하지만, 2014년 하반기 사회공학 기법을 추가한 매크로 악성코드가 다시 증가하고 있다. 2012년부터 2015년 2월 현재까지 안랩에서 고객으로부터 접수된 매크로 악성코드 수는 다음과 같다. 2015년 3월까지 240개로 2014년 2월에 이미 2014년 한해 동안 발견된 매크로 악성코드보다 많다. 년도 접수 수 2012년 22개 2013년 50 개 2014년 108 개 2015년 3월 까지 240 개 표 1. 매크로 악성코드 고객 접수 수   매크로 기능 활성 유도   오피스는 기본적으로 매크로 기능이 꺼져있기 때문에 매크로 악성코드가 동작하기 위해서는 매크로 기능이 활성화되어야 한다. 따라서, 사용자가 매크로를 활성화 하도록…