정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking) Posted By KDH , 2023년 10월 26일 정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 주의가 필요하다. 공격자는 유효한 서명을 포함한 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 유포하고 있다. EXE 파일은 자체로는 정상 파일이지만, 악성 DLL과 동일한 디렉토리에서 실행될 경우 악성 DLL을 자동으로 실행한다. 이러한 기법을 DLL 하이재킹(DLL Hijacking)이라 하며 악성코드 유포에 종종 사용되는 방식이다. 상용 소프트웨어의 크랙, 키젠 등으로 위장한 악성코드 유포 또한 DLL 하이재킹 방식의 샘플 비중을 점차 늘려가고 있다. 본격적인 유포는 지난 5월경 관측되기 시작하였으며, 다시 8월부터 최근까지 활발하게 유포…
EDR을 활용한 AgentTesla 추적 및 대응 Posted By cka0 , 2023년 5월 31일 AhnLab Security Emergency response Center(ASEC)에서는 매주 주간 악성코드 통계를 정리하여 게시하고 있다. 이 중 지속적으로 유포되고 있는 인포스틸러 악성코드인 AgentTesla를 EDR을 활용하여 어떻게 탐지되는지 추적과 대응 방법에 대해 공유하고자 한다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 안랩 EDR 제품에서는 특정 유형의 PE 가 사용자 계정 정보 파일에 접근하는 행위를 위협으로 탐지한다. 계정 정보 탈취 행위 탐지의 상세 정보에서 다이어그램을 확인하면 AgentTesla 의 행위를 추적 할 수 있다. [그림 3]을 확인해보면 AgentTesla는…
국내 메일 서비스 사용자 타겟 피싱 사이트(2) Posted By ASEC , 2021년 6월 4일 그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다. 최근에 확인된 피싱 사이트는 네이버 메일(mail.naver), 다음 메일(mail2.daum), 하이 웍스(hiworks) 사용자를 대상으로 아이디(ID)와 패스워드(Password), 사용자 IP 등을 수집해 해당 공격자의 메일로 전송한다. 최상위 도메인 hxxp://za***if***i**pl*ce[.]com/은 과거 블로그에 소개된 피싱 사이트와 같이 open directory 형태이며, 동일한 템플릿 beautysalon을 사용하였다. 또 하위 디렉토리 구조가 동일하여 피싱 정보를 발신할 메일 주소와 디렉토리 명의 일부 스트링이 포함된다. 스크립트…
국내 메일 서비스 사용자 타겟 피싱 사이트 Posted By ASEC , 2021년 5월 18일 최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다. ASEC 분석팀에서는 동일한 피싱 도메인 주소에서 다양한 대상을 타겟으로 피싱 공격을 수행한 것을 확인하였다. 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이 웍스(hiworks), 천리안, 다음(daum) 사용자들을 공격 대상으로 하며 하나의 도메인에서 해당 타겟에 대한 악성 피싱 스크립트들이 관리되고…
Vidar 인포스틸러 악성코드 정보 유출 기능 분석 Posted By ASEC , 2020년 9월 8일 Vidar는 사용자 정보를 유출하는 기능을 갖는 인포스틸러 악성코드이다. 아래의 주간 통계에서도 확인 되듯 Top 5 안에는 포함되지 않지만 꾸준히 일정 비율을 차지하고 있으며, 한동안 Top 5에도 포함되었던 이력을 보면 다시 그 유포량이 증가할 수 있다. https://asec.ahnlab.com/1375 최근 한 달 동안 확인된 유포 파일 개수는 아래의 표와 같다. 모두 “build.exe”라는 이름으로 유포되고 있으며, (윈도우 정품인증을 위한) KMSAuto로 위장한 설치 파일 내부에 존재하는 공통점이 있다. 날짜 유포 파일 수 날짜 유포 파일 수 날짜 유포 파일 수 날짜 유포 파일 수 8월…
