백도어

Lazarus 그룹의 NukeSped 악성코드 분석 보고서

안랩 시큐리티대응센터(ASEC)은 2020년경부터 최근까지 확인되고 있는 Lazarus 그룹의 공격들에 대해 분석 보고서를 공개한다. 여기에서 다루는 악성코드는 NukeSped로 알려져 있으며 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 백도어 악성코드이다. 본 문서에서는 NukeSped를 이용한 공격들에 대한 전체적인 흐름을 분석한다. 차례대로 확인된 유포 방식부터 시작하여 NukeSped의 기능들을 분석하고, 공격자로부터 전달받은 명령이나 추가적으로 설치한 악성코드들까지 각 단계별로 상세하게 정리한다. ____ ____ 목차개요1. 최초 침투 방식…. 1.1. 메일 첨부 문서 파일을 통한 유포 사례…. 1.2. 워터링홀 공격을 통한 유포 사례2. 다운로더…. 2.1. 다운로더…

워드양식 입사지원서로 위장한 Zegost 악성코드

ASEC 분석팀은 9월 17일 입사지원서로 위장한 Zegost 악성코드가 유포되고 있음을 확인하였다. 해당 파일은 워드 문서 아이콘으로 되어 있어 사용자가 악성 실행 파일을 문서 파일로 착각할 수 있다. 파일 버전 역시 Kakao를 사칭하고 있어, 사용자의 주의가 필요하다. 파일 속성 파일 실행 시 C:Windowssystem32Phiya.exe로 자가복제되며, 자동 실행을 위해 아래 레지스트리를 생성한다. HKLMSystemSelectMarktime[파일 실행 시간] HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrStart = 0x02 HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrImagePath = C:Windowssystem32Phiya.exe 생성되는 레지스트리 목록 레지스트리 등록 후 실행된 Phiya.exe는 C드라이브 경로에 2.doc 파일을 생성 및 실행한다. 해당 파일은 아래와 같이 입사지원서 양식을…

파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어

지난 8월, ASEC 분석팀은 국내 웹하드를 통해 백도어 기능의 RAT 악성코드가 유포되고 있음을 소개하였다. 하지만 이러한 유형의 악성코드는 이전과 동일한 방법으로 여전히 유포 중임을 확인하였다. https://asec.ahnlab.com/1369 웹하드나 토렌트를 이용하면 어느 누구나 원하는 자료를 쉽게 업로드하고 다운로드 받을 수 있다. 공격자는 이를 이용하여 자료가 공유되는 곳에 정상과 악성 프로그램을 동시에 업로드하여 일반 사용자들의 감염을 유도한다. 공유되는 자료는 대부분 성인 게임이나 온라인 게임 핵, 불법으로 정품 인증하는 프로그램 등 일반적으로 ‘불법’과 연관된 프로그램이다. 아래의 그림은 특정 파일공유 사이트를 통해 유포된 사례로 성인게임을…

국내 유명 웹하드를 통해 유포되는 njRAT 악성코드

njRAT 악성코드는 사용자의 개인 정보를 탈취하며 공격자의 명령을 받아 실행할 수 있는 RAT 악성코드로, 국내에서 개인을 상대로 꾸준히 유포되고 있다. https://asec.ahnlab.com/1367 진단 로그를 분석한 결과 njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통하여 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는 감염 사실을 파악하기 쉽지 않다. ASEC 분석팀은 njRAT 악성코드가 국내 웹하드 사이트를 통해 유포 중인 사례를 소개하고자 한다. 최근 유포된 njRAT의 파일명을 기반으로 역추적한 결과 다음과 같이 국내…

영화 ‘반도’ 동영상 파일로 위장하여 백도어 유포 중 (Torrent)

지난 6월 24일 ASEC 분석팀은 현재 상영중인 영화 “결백” 영화 파일을 위장한 백도어 악성코드의 유포 현황을 발견하였다.  그리고 8월 5일 동일 류의 악성코드를 모니터링 중 최신 영화인 “반도” 영화 파일로 새롭게 위장한 백도어 악성코드가 유포되는 정황을 포착하였다. 공격자는 지난 번과 동일하게 일반 사용자들이 많이 이용하는 “토렌트(Torrent)”를 통해 악성코드를 유포하였으며, 업로드 시점은 8월 4일 02시 20분으로 확인되었다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 해당 파일에 의한 감염자 수가 빠르게 증가하고 있다. https://asec.ahnlab.com/1351 유포지에서 다운로드 된 토렌트 파일명은 영화 파일(“반도.2019.1080p.x265.Netbox.zip“)인 것처럼 보이지만, 실제 파일의 확장자는 zip 압축 파일이다. 해당 압축 파일…