백도어

워드양식 입사지원서로 위장한 Zegost 악성코드

ASEC 분석팀은 9월 17일 입사지원서로 위장한 Zegost 악성코드가 유포되고 있음을 확인하였다. 해당 파일은 워드 문서 아이콘으로 되어 있어 사용자가 악성 실행 파일을 문서 파일로 착각할 수 있다. 파일 버전 역시 Kakao를 사칭하고 있어, 사용자의 주의가 필요하다. 파일 속성 파일 실행 시 C:Windowssystem32Phiya.exe로 자가복제되며, 자동 실행을 위해 아래 레지스트리를 생성한다. HKLMSystemSelectMarktime[파일 실행 시간] HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrStart = 0x02 HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrImagePath = C:Windowssystem32Phiya.exe 생성되는 레지스트리 목록 레지스트리 등록 후 실행된 Phiya.exe는 C드라이브 경로에 2.doc 파일을 생성 및 실행한다. 해당 파일은 아래와 같이 입사지원서 양식을…

파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어

지난 8월, ASEC 분석팀은 국내 웹하드를 통해 백도어 기능의 RAT 악성코드가 유포되고 있음을 소개하였다. 하지만 이러한 유형의 악성코드는 이전과 동일한 방법으로 여전히 유포 중임을 확인하였다. https://asec.ahnlab.com/1369 웹하드나 토렌트를 이용하면 어느 누구나 원하는 자료를 쉽게 업로드하고 다운로드 받을 수 있다. 공격자는 이를 이용하여 자료가 공유되는 곳에 정상과 악성 프로그램을 동시에 업로드하여 일반 사용자들의 감염을 유도한다. 공유되는 자료는 대부분 성인 게임이나 온라인 게임 핵, 불법으로 정품 인증하는 프로그램 등 일반적으로 ‘불법’과 연관된 프로그램이다. 아래의 그림은 특정 파일공유 사이트를 통해 유포된 사례로 성인게임을…

국내 유명 웹하드를 통해 유포되는 njRAT 악성코드

njRAT 악성코드는 사용자의 개인 정보를 탈취하며 공격자의 명령을 받아 실행할 수 있는 RAT 악성코드로, 국내에서 개인을 상대로 꾸준히 유포되고 있다. https://asec.ahnlab.com/1367 진단 로그를 분석한 결과 njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통하여 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는 감염 사실을 파악하기 쉽지 않다. ASEC 분석팀은 njRAT 악성코드가 국내 웹하드 사이트를 통해 유포 중인 사례를 소개하고자 한다. 최근 유포된 njRAT의 파일명을 기반으로 역추적한 결과 다음과 같이 국내…

영화 ‘반도’ 동영상 파일로 위장하여 백도어 유포 중 (Torrent)

지난 6월 24일 ASEC 분석팀은 현재 상영중인 영화 “결백” 영화 파일을 위장한 백도어 악성코드의 유포 현황을 발견하였다.  그리고 8월 5일 동일 류의 악성코드를 모니터링 중 최신 영화인 “반도” 영화 파일로 새롭게 위장한 백도어 악성코드가 유포되는 정황을 포착하였다. 공격자는 지난 번과 동일하게 일반 사용자들이 많이 이용하는 “토렌트(Torrent)”를 통해 악성코드를 유포하였으며, 업로드 시점은 8월 4일 02시 20분으로 확인되었다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 해당 파일에 의한 감염자 수가 빠르게 증가하고 있다. https://asec.ahnlab.com/1351 유포지에서 다운로드 된 토렌트 파일명은 영화 파일(“반도.2019.1080p.x265.Netbox.zip“)인 것처럼 보이지만, 실제 파일의 확장자는 zip 압축 파일이다. 해당 압축 파일…

신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05)

ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. RLO 변조 된 파일 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt – 신천지예수교회비상연락처(1).xlsx  엑셀 문서 내용 – 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 파워포인트 내용 – 1 파워포인트 내용 – 2 분석 내용은…