악성코드

동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산?

ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램 타겟으로 다양한 악성코드를 삽입하여 유포한 것으로 랜섬웨어(RaaS: Ransomware as a Service) 뿐 아니라 다양한 악성코드가 서비스 형태로 유포되는 것으로 추정된다. Nemty, Ryuk, BlueCrab, Raccoon, Predator 이름의 악성코드들은 기존에도 특정 패커로 포장되어 지속적으로 유포되어 왔지만 이번에 발견된 외형(패커: Packer)은 현재까지 사용된 것과는 구조와 형식이 특이하다. 현재 확인된 외형은 [그림2]와 같이 파일의 버전정보는 모두 동일하며, 실행 시점에 내부에 인코딩된 부분을 디코딩하여 실행되는 악성코드 종류만 다른…

Pastebin 서비스를 이용한 원격 제어 악성코드

온라인상에 텍스트나 소스코드 데이터를 저장해서 공유할 수 있는 Pastebin (페이스트빈) 서비스를 이용한 악성코드가 발견되었다. Pastebin 서비스에 Raw 데이터 텍스트 스트링을 올려두면 부여되는 고유한 URL을 통해 접속할 수 있는 점을 이용하였다.  악성코드는 성인물로 위장하여 ‘2.zip’ 압축 파일명으로 유포되었다. 실행된 악성코드는 단독으로 동작하거나 실행되지 않고 여러 개의 Visual Basic 스크립트 파일과 EXE 실행 파일을 만들거나 메모리에 로드하여 최종 파일을 생성한다. 이 과정에서 악성코드는 Pastebin 도메인의 각기 다른 4개 URL에 접속하여 해당 주소의 텍스트 데이터를 받아 악성코드를 로딩하는 데 이용한다. 최종 실행되는 파일은 ‘njRAT’ 이름을 가진 원격 제어 (Remote Access) 기능의 백도어이다. 다음은 최초 유포 파일로부터 최종 원격 제어 악성코드가 실행되기까지의 과정을 도식화한 것이다. Pastebin을 통해 받아오는 Raw 데이터 텍스트 스트링은 다양한 목적과 형태로 되어있다. 인코딩된 또 다른 스크립트를 포함한 Visual Basic 스크립트…

스팸 메일로 유포되는 Hancitor 악성코드 재활동

스팸 메일에 첨부되어 유포되는 Microsoft Office 문서 파일 악성코드 중 Hancitor (Chanitor) 유형이 2016년 이후 다시 활발히 유포되고 있는 정황이 확인되었다.  Hancitor 악성코드는 VBA 매크로를 이용하여 ‘사용자 정의 폼’ 내부의 암호화 된 쉘코드를 이용하여 생성한 PE를 정상 프로세스에 인젝션하여 악성 기능을 수행한다. 관련하여 2016년 다음과 같은 제목으로 본 블로그에 분석 정보를 제공하였다.  ‘MS 워드 문서에서 폼 개체를 활용한 악성코드’ – http://asec.ahnlab.com/1052 최근 유포되고 있는 Hancitor 악성코드는 2016년과 비교했을 때 폼 개체 이용 및 프로세스 인젝션을 비롯한 전체적인 동작 방식에는 큰 변화가 없다. 부분적으로 쉘코드 생성 후 실행을 위한 Windows API가 달라지고 인젝션 대상 프로세스가 달라지는 차이가 확인되었다.  1. Microsoft Office 문서 파일 VBA 코드는 파일마다 난독화 방식에 차이가 있으나, 공통적으로 내부 바이너리를 이용하여 쉘코드가 메모리에 로드 및 실행되도록 한다. 이…

웹 브라우저를 통해 마이닝 동작하는 악성코드

암호화폐 시장이 달아오름과 동시에 채굴 방식 또한 점차 다양해지고 있다. PC에 악성 채굴기 실행파일을 몰래 설치하는 악성코드뿐만 아니라[각주:1], 웹 브라우저를 기반으로 하여 암호화폐를 채굴하는 방식이 2017년부터 폭증하고 있다.  웹 브라우저 기반으로 동작하는 마이닝 방식은 기존의 실행 파일 기반과는 다르게 악성 자바스크립트(JavaScript)를 이용해 동작한다. 자바스크립트는 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 로드할 수 있으며, 해당 웹 페이지에 접속했을 때 접속자는 개인 하드웨어 자원을 이용하여 채굴을 하게 되고 그 결과는 공격자의 지갑 주소에 전송된다.  파일 기반의 악성코드는 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정이 필요하지만, 웹 기반의 마이닝 악성코드는 단순 웹 페이지 접속 조건만을 만족하면 되기 때문에 공격자 입장에서는 좀 더 손쉬운 채굴 방식이 될 수 있다. 웹 브라우저를 이용한 최초의 마이닝 방식은 암호화폐 가격이 지금보다 낮았던 2011년에…

2014년 예상 7대 보안 위협 트렌드 발표

– 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측 안랩[대표 권치중, http://www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다.   1] APT방식의 악성코드 고도화와 표적[target] 확대 2013년까지 기업이나 기관 등 특정 표적만을 노려 고도화된 악성코드를 이용해 정보유출이나 시스템 파괴를 노린 APT[Advanced Persistent Threat, 지능형 지속 공격] 공격이 큰 문제로 등장했다. 2014년에는 APT와 같은 지능형 공격의 표적이 확대되어, 일반 PC사용자를 노린 악성코드도 기존…