원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능 Posted By ASEC , 2020년 6월 16일 ASEC 분석팀에서는 2014년도에 뱅킹 악성코드에 DDoS 기능이 포함된 Gh0st RAT 분석 정보를 소개한 바있다. 당시에는 주로 DDoS 공격기능 중심으로 소개되었고, 전체적인 동작과정 및 원격제어 기능에 대한 설명이 부족하였다. 해당 원격제어 툴은 현재까지도 널리 사용되는 상황으로 이번 글에서는 좀 더 다양한 기능들에 대해 분석한 내용을 설명하고자 한다. https://asec.ahnlab.com/995 Gh0st RAT은 중국의 C. Rufus Security Team에서 개발되었으며 오픈소스로 공개된 원격 제어 악성코드이다. Gh0st RAT에 감염이 될 경우 해당 PC는 좀비 PC가 되어 공격자 서버로 부터 다양한 명령을 수행하게 된다. 특히 Github에도 Gh0st…
이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포 Posted By ASEC , 2012년 8월 22일 ASEC에서는 2012년 8월 21일 어제 CVE-2009-0927 취약점을 악용하는 어도비 리더(Adobe Reader) 파일인 PDF 파일이 이메일에 첨부되어 국내에 유포된 사실을 확인 하였다. 해당 CVE-2009-0927 취약점은 2009년 3월 어도비에서 보안 권고문 “APSB09-04 Security Updates available for Adobe Reader and Acrobat“을 통해 이미 보안 패치가 배포 중인 취약점이다. 그리고 해당 취약점을 악용하여 취약한 PDF 파일을 유포하는 공격 형태는 2009년 10월부터 지속적으로 발견되어 왔다. 2009년 10월 9일 – 어도비 PDF 제로 데이 취약점 공격 악성코드 발견 2009년 10월 16일 – 새로운 어도비 취약점 웹 사이트를 통해 유포 2009년 11월 10일 – 타켓 공격에 악용된 취약한 PDF 악성코드 2010년 11월 25일 – 이메일로 유포된 랜섬웨어를 다운로드하는 제우스 이 번에 발견된 CVE-2009-0927 취약점을 악용하는 취약한 PDF 파일은 이메일에 첨부된 형태로 유포되었으며, 동일한 취약점을 파일명과 문서 내용만을 변경하여 유포되었다. 현재 확인된 취약한 PDF 파일은 총…
구글 코드를 악용한 악성코드 유포 Posted By ASEC , 2012년 7월 25일 검색 엔진을 개발하는 구글(Google)에서는 사용자들의 편의성을 위해 지메일(Gmail), 구글 리더(Google Reader)와 구글 닥스(Google Docs) 등 여러가지 서비스를 제공해주고 있다. 구글에서 제공하는 서비스들은 인터넷만 연결되어 있다면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공 해주고 있으며, 개발자들의 경우에는 구글 코드(Google Code)라고 하여 프로그램 개발과 관련한 소스코드와 파일등을 개발자들 사이에서 공유 할 수 있는 공간을 제공하고 있다. 이러한 서비스들 모두 24시간 중단되지 않는 가용성을 제공하고 있으며, 구글에서 운영을 하고 있음으로 안정성까지 제공 받을 수 있다는 점을 악용하여 구글 코드에 악성코드를 업로드하여 유포에 악용하는 사례가 7월 23일 발견되었다. 구글 코드를 악성코드 유포에 악용하였던 사례는 이번이 처음은 아니며 7월 18일 발견되었던 개인 금융 정보 탈취 목적의 Banki 트로이목마 역시 구글 코드를 악용하였다. 이 번에 발견된 구글 코드를 악용해 유포되고 있는 악성코드들은…