코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) Posted By ASEC , 2020년 5월 11일 ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다. https://asec.ahnlab.com/1276 코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. 주로 주소 문자열을 저장해둔 후 필요할 때 복사 및 붙여넣는 방식으로 사용할 것이다. 악성코드가 감염된 환경에서는 사용자가 코인 지갑 주소를 복사하고 붙여넣는 순간 사용자의 지갑 주소가 악성코드 제작자의 지갑 주소로 변경된다. 위에서는 비트코인과 모네로의 결과만 존재하지만, 이더리움, 라이트코인, ZCash, 비트코인캐시(기존 주소 및 신규 주소 모두) 등도 클립보드 하이재킹 공격의 대상이다. 감염된 환경에서는 악성코드가 IntelRapid라는 이름으로 동작하면서 복사한 클립보드를 공격자의 주소로 변경하는 작업을 수행한다. 최근에는 IntelRapid라는 이름 대신 RuntimeBroker라는 이름으로 감염된 컴퓨터에서 동작 중이다. IntelRapid 또는 RuntimeBroker로 실행된 악성코드는 이후 클립보드를 모니터링하다가 만약 사용자가 복사한 문자열이 코인 지갑 주소와 매칭된 경우 그 주소를 공격자의 주소들 중 하나로 변경한다. 공격자의 지갑 주소들은 리소스 섹션에 인코딩된 형태로 존재하며, 실행 후 메모리 상에 디코딩되어 있다가, 사용자가 지갑 주소를 복사했을 선택되어 원래 지갑 주소를 대체하게 된다. 다음은 과거 버전과 최근 변형의 차이점을 정리한다. 먼저 위에서도 언급했듯이 악성코드 실행 시 자기 자신을 복사하는 경로가 AppDataRoamingIntelRapidIntelRapid.exe 에서 AppDataRoamingRuntimeBrokerRuntimeBroker.exe 경로로 변경되었다. 참고로 이후 시작…
암호화폐 가치에 따른 마이너 악성코드 동향 (2018) Posted By ASEC , 2019년 1월 29일 2018년 마이너(Miner) 악성코드 샘플과 감염 리포트 수량이 크게 증가했다. 해당 악성코드의 샘플 수량은 2017년의 12만7천건에서 2018년도는 299만건으로 무려 2,254% 증가율을 보였다. [그림 1] Miner 악성코드 샘플 수량 및 감염 리포트 수량 vs 비트코인 가격 (※ 비트코인 시세: 코인마켓캡(https://coinmarketcap.com) 자료 기준) 마이너 악성코드의 폭발적인 증가는 암호화폐(Cryptocurrency, 일명 가상화폐)의 급격한 가치 상승에 기인한 것으로 분석된다. 실제로 [그림 1]과 [그림 2]의 비트코인(Bitcoin, BTC)과 모네로(Menero, XMR) 가격 추세 그래프에서 알 수 있듯이 2018년 1분기 암호화폐의 가격 상승과 함께 샘플 및 감염 리포트 수량이 폭발적으로 증가했다. 참고로 암호화폐의 대명사로 알려진 비트코인과 달리 모네로는 거래의 익명성이 보장되어 누가 얼마나 보낸 것인지 알 수 없으며, 성능 좋은 고가의 GPU(Graphics Processing Unit)를 장착한 시스템이 아닌 일반 CPU(Central Processing Unit) 환경에서도 채굴을 지원하는 대표적인 코인으로 알려져 있다. 이러한 이유로…
웹 브라우저를 통해 마이닝 동작하는 악성코드 Posted By ASEC , 2018년 1월 17일 암호화폐 시장이 달아오름과 동시에 채굴 방식 또한 점차 다양해지고 있다. PC에 악성 채굴기 실행파일을 몰래 설치하는 악성코드뿐만 아니라[각주:1], 웹 브라우저를 기반으로 하여 암호화폐를 채굴하는 방식이 2017년부터 폭증하고 있다. 웹 브라우저 기반으로 동작하는 마이닝 방식은 기존의 실행 파일 기반과는 다르게 악성 자바스크립트(JavaScript)를 이용해 동작한다. 자바스크립트는 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 로드할 수 있으며, 해당 웹 페이지에 접속했을 때 접속자는 개인 하드웨어 자원을 이용하여 채굴을 하게 되고 그 결과는 공격자의 지갑 주소에 전송된다. 파일 기반의 악성코드는 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정이 필요하지만, 웹 기반의 마이닝 악성코드는 단순 웹 페이지 접속 조건만을 만족하면 되기 때문에 공격자 입장에서는 좀 더 손쉬운 채굴 방식이 될 수 있다. 웹 브라우저를 이용한 최초의 마이닝 방식은 암호화폐 가격이 지금보다 낮았던 2011년에…
ASEC 보안 위협 동향 리포트 2013 Vol.47 발간 Posted By ASEC , 2014년 1월 10일 안랩 ASEC에서 2013년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.47을 발간하였다. 이 번에 발간된 ASEC 리포트는 2013년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 PC 내 파일을 암호화하는 랜섬웨어 CryptoLocker 악성 매크로를 포함한 엑셀 파일 USB에 생성되는 ‘바로가기’ 파일 MS 오피스 제로데이 취약점(CVE-2013-3906) 주의 새터민 자기소개서로 위장한 악성 한글 파일 출현 신용카드 명세서로 위장한 악성코드 변종 유포 가짜 음성 메시지가 첨부된 악성 스팸 메일 등장 동영상 파일로 위장한 악성코드 이력서 문서 파일로 위장한 실행 파일 2) 모바일 악성코드 이슈 정상 앱을 가장한 광고 앱 주의 신뢰할 수 있는 기업의 웹사이트로 위장한 모바일 사이트 음란 페이지로 가장해 모바일 악성 앱 배포 웹서핑 중 자동으로 다운로드 되는 앱 3) 보안 이슈…