악성 매크로 코드를 ‘좀 더’ 숨긴 엑셀 파일 유포 – very hidden Posted By ASEC , 2020년 3월 11일 새로운 방식으로 악성 매크로 코드를 숨긴 엑셀 파일이 발견되었다. 이번 파일은 엑셀 4.0 (XLM) 매크로 시트를 이용하였는데, 기존의 악성 매크로 시트를 단순히 숨겼던 방식에서 일반적인 사용자 인터페이스로는 숨김 속성을 없앨 수 없게 없게 변경하였다. VBA 매크로 코드 방식을 이용하지도 않고 XLM 매크로 시트를 직접 확인할 수도 없기 때문에 문서 내에 악성 코드가 어디에 존재하는지 바로 확인하기 어렵다. 파일명 – invoice_805274.xls 생성일 – 2020-03-09 15:30:32 MD5 – a7b074da0251f0f8952090967846737e 엑셀 4.0 매크로 시트를 이용한 악성 파일은 2019년 초 활발하게 유포되었다. 당시 유포된…
동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? Posted By ASEC , 2019년 12월 11일 ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램 타겟으로 다양한 악성코드를 삽입하여 유포한 것으로 랜섬웨어(RaaS: Ransomware as a Service) 뿐 아니라 다양한 악성코드가 서비스 형태로 유포되는 것으로 추정된다. Nemty, Ryuk, BlueCrab, Raccoon, Predator 이름의 악성코드들은 기존에도 특정 패커로 포장되어 지속적으로 유포되어 왔지만 이번에 발견된 외형(패커: Packer)은 현재까지 사용된 것과는 구조와 형식이 특이하다. 현재 확인된 외형은 [그림2]와 같이 파일의 버전정보는 모두 동일하며, 실행 시점에 내부에 인코딩된 부분을 디코딩하여 실행되는 악성코드 종류만 다른…
Pastebin 서비스를 이용한 원격 제어 악성코드 Posted By ASEC , 2018년 4월 23일 온라인상에 텍스트나 소스코드 데이터를 저장해서 공유할 수 있는 Pastebin (페이스트빈) 서비스를 이용한 악성코드가 발견되었다. Pastebin 서비스에 Raw 데이터 텍스트 스트링을 올려두면 부여되는 고유한 URL을 통해 접속할 수 있는 점을 이용하였다. 악성코드는 성인물로 위장하여 ‘2.zip’ 압축 파일명으로 유포되었다. 실행된 악성코드는 단독으로 동작하거나 실행되지 않고 여러 개의 Visual Basic 스크립트 파일과 EXE 실행 파일을 만들거나 메모리에 로드하여 최종 파일을 생성한다. 이 과정에서 악성코드는 Pastebin 도메인의 각기 다른 4개 URL에 접속하여 해당 주소의 텍스트 데이터를 받아 악성코드를 로딩하는 데 이용한다. 최종 실행되는 파일은 ‘njRAT’ 이름을 가진 원격 제어 (Remote Access) 기능의 백도어이다. 다음은 최초 유포 파일로부터 최종 원격 제어 악성코드가 실행되기까지의 과정을 도식화한 것이다. Pastebin을 통해 받아오는 Raw 데이터 텍스트 스트링은 다양한 목적과 형태로 되어있다. 인코딩된 또 다른 스크립트를 포함한 Visual Basic 스크립트…
스팸 메일로 유포되는 Hancitor 악성코드 재활동 Posted By ASEC , 2018년 3월 22일 스팸 메일에 첨부되어 유포되는 Microsoft Office 문서 파일 악성코드 중 Hancitor (Chanitor) 유형이 2016년 이후 다시 활발히 유포되고 있는 정황이 확인되었다. Hancitor 악성코드는 VBA 매크로를 이용하여 ‘사용자 정의 폼’ 내부의 암호화 된 쉘코드를 이용하여 생성한 PE를 정상 프로세스에 인젝션하여 악성 기능을 수행한다. 관련하여 2016년 다음과 같은 제목으로 본 블로그에 분석 정보를 제공하였다. ‘MS 워드 문서에서 폼 개체를 활용한 악성코드’ – http://asec.ahnlab.com/1052 최근 유포되고 있는 Hancitor 악성코드는 2016년과 비교했을 때 폼 개체 이용 및 프로세스 인젝션을 비롯한 전체적인 동작 방식에는 큰 변화가 없다. 부분적으로 쉘코드 생성 후 실행을 위한 Windows API가 달라지고 인젝션 대상 프로세스가 달라지는 차이가 확인되었다. 1. Microsoft Office 문서 파일 VBA 코드는 파일마다 난독화 방식에 차이가 있으나, 공통적으로 내부 바이너리를 이용하여 쉘코드가 메모리에 로드 및 실행되도록 한다. 이…
웹 브라우저를 통해 마이닝 동작하는 악성코드 Posted By ASEC , 2018년 1월 17일 암호화폐 시장이 달아오름과 동시에 채굴 방식 또한 점차 다양해지고 있다. PC에 악성 채굴기 실행파일을 몰래 설치하는 악성코드뿐만 아니라[각주:1], 웹 브라우저를 기반으로 하여 암호화폐를 채굴하는 방식이 2017년부터 폭증하고 있다. 웹 브라우저 기반으로 동작하는 마이닝 방식은 기존의 실행 파일 기반과는 다르게 악성 자바스크립트(JavaScript)를 이용해 동작한다. 자바스크립트는 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 로드할 수 있으며, 해당 웹 페이지에 접속했을 때 접속자는 개인 하드웨어 자원을 이용하여 채굴을 하게 되고 그 결과는 공격자의 지갑 주소에 전송된다. 파일 기반의 악성코드는 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정이 필요하지만, 웹 기반의 마이닝 악성코드는 단순 웹 페이지 접속 조건만을 만족하면 되기 때문에 공격자 입장에서는 좀 더 손쉬운 채굴 방식이 될 수 있다. 웹 브라우저를 이용한 최초의 마이닝 방식은 암호화폐 가격이 지금보다 낮았던 2011년에…
