취약한 아파치 톰캣 웹 서버를 대상으로 설치되는 코인 마이너 악성코드 Posted By Sanseo , 2022년 10월 19일 ASEC 분석팀에서는 최근 취약한 아파치 톰캣 웹 서버를 대상으로 하는 공격을 확인하였다. 최신 업데이트가 되지 않은 톰캣 서버는 대표적인 취약점 공격 벡터 중 하나이다. 과거에도 ASEC 블로그에서 취약한 JBoss 버전이 설치된 아파치 톰캣 서버를 대상으로 한 공격을 소개한 바 있다. 공격자는 취약점 공격 도구인 JexBoss를 이용해 웹쉘을 설치한 후 미터프리터 악성코드로 감염 시스템에 대한 제어를 획득하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 참고로 IIS 윈도우 웹 서버에서는…
웹하드를 통해 유포 중인 모네로 코인 마이너 악성코드 Posted By Sanseo , 2022년 8월 1일 웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT, DDoS IRC Bot과 같은 RAT 유형의 악성코드를 설치한다. 최근 ASEC 분석팀에서는 웹하드를 통해 XMRig 즉 모네로 코인 마이너를 유포하는 사례가 확인되어 블로그에 소개하려고 한다. 악성코드가 유포된 경로를 확인한 결과 다음과…
메타스플로잇 미터프리터를 이용한 공격 사례 Posted By Sanseo , 2021년 9월 2일 메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 메타스플로잇은 코발트 스트라이크처럼 최초 감염을 위한 다양한 형태의 페이로드 생성부터 계정 정보 탈취, 내부망 이동을 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다. 코발트 스트라이크는 상용 프로그램이지만 크랙 버전이 유출되어 공격자들에 의해 자주 사용되고 있으며, 메타스플로잇은 기본적으로 공개된 오픈 소스임에 따라 손쉽게 사용이 가능하다. 여기에서는 메타스플로잇 미터프리터가 공격에 사용된 실제 사례를 다룬다. 메타스플로잇 미터프리터 코발트 스트라이크는…
구글 키워드 검색 시, 피싱 페이지 통한 CoinMiner 유포 중 Posted By ASEC , 2020년 6월 29일 구글에서 크랙, 키젠, 시리얼 번호 등의 키워드 검색 시, 상단에 노출되는 피싱 페이지를 통해 암호화폐 채굴을 위한 마이너(Miner) 악성코드가 유포 중이다. 관련 자료는 작년 12월 경 Avira에서도 공개한 바 있으며, 피싱 페이지의 경우 한국어 페이지로도 제공되어 국내 사용자들도 상당수 감염된 것이 확인되었다. [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] 구글 검색을 통해 감염이 이루어지는 전체적인 흐름은 아래의 그림과 같다. 감염 흐름도 피싱 페이지에서 악성코드가 포함된 압축 파일(*.ZIP)을 다운로드 받고 내부의 실행파일(*.EXE)을 실행할 경우, 위의 과정을 거쳐서 결국 “TiWorker.exe”라는 프로세스에 의해 코인 마이닝(암호화폐 채굴)이 진행된다….
