매크로 악성코드

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…

사회공학 기법 사용하는 매크로 악성코드 주의

매크로 악성코드 증가   매크로 바이러스는 1994년 처음 개념 증명(Proof of concept) 되었고 1995년 컨셉(WM/Concept) 바이러스를 시작으로 2000년 초까지 극성을 부렸다. 매크로 악성코드의 피해가 커지면서 마이크로소프트사는 오피스 2000부터 매크로 기능을 기본적으로 사용하지 못하게 하면서 거의 사라졌다. 하지만, 2014년 하반기 사회공학 기법을 추가한 매크로 악성코드가 다시 증가하고 있다. 2012년부터 2015년 2월 현재까지 안랩에서 고객으로부터 접수된 매크로 악성코드 수는 다음과 같다. 2015년 3월까지 240개로 2014년 2월에 이미 2014년 한해 동안 발견된 매크로 악성코드보다 많다. 년도 접수 수 2012년 22개 2013년 50 개 2014년 108 개 2015년 3월 까지 240 개 표 1. 매크로 악성코드 고객 접수 수   매크로 기능 활성 유도   오피스는 기본적으로 매크로 기능이 꺼져있기 때문에 매크로 악성코드가 동작하기 위해서는 매크로 기능이 활성화되어야 한다. 따라서, 사용자가 매크로를 활성화 하도록…