파일리스

더욱 정교하게 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀에서는 Formbook 악성코드가 그간의 유포 이메일보다 더 정교화된 내용으로 사용자들이 첨부된 파일을 의심없이 실행하도록 유포되고 있는 정황을 확인하였다. 정보유출형 악성코드인 Formbook은 자사에서 매주 업로드하고 있는 ‘ASEC 주간 악성코드 통계’에서 확인 할 수 있듯 국내에 활발히 유포 중이다. 이전 블로그에서도 언급을 했듯 해당 악성코드는 다양한 키워드를 주제로 속여 이메일을 통해 유포 중임을 알렸었다. https://asec.ahnlab.com/1348 다만 이전의 유포 이메일 상 내용과 키워드가 견적, 구매, 주문 등으로 그간 알려진 범위를 크게 벗어나지 않았으며, 특정 내용들로 국한되어 피싱 메일에 대한 경각심을 가진 사용자라면…

AgentTesla 악성코드 국내에 어떻게 유포되고 있나?

올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) 이와 비슷한 유포 방식을 이용하여 7월에는 azorult가 아닌 AgentTesla라는 정보유출형 악성코드가 유포되었다. 이 악성코는 ASEC 분석팀에서 매주 업로드하고 있는 ‘주간 악성코드 통계’에서 확인 할 수 있듯 TOP 5안에 꾸준히 등장하는 국내에서 아주 활발히 유포 중인…

Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367)

매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다.  아래 [그림 1]은 현재 매그니베르 유포 사이트 접속 시 전달받는 HTML 스크립트로 인코딩된 형태이다.  [그림 2]는 [그림 1]의 스크립트의 디코딩된 형태로 취약점 스크립트 부분이다.  이전에 소개된 VBScript 엔진 취약점(CVE-2018-8174) 스크립트에서 JavaScript 엔진…

IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태)

CVE-2019-1367 취약점은 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약점이다. MS에서는 해당 취약점에 대해 아래와 같은 위험성을 경고 하고 있다. 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다. 웹 기반 공격 시나리오에서 공격자는 Internet Explorer를 통해 이 취약성을 악용하도록 설계하여 특수 제작된 웹 사이트를 호스트한 다음, 전자 메일을 보내는 식으로 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 1) ASEC 분석팀에서는 CVE-2019-1367 취약점을 악용한 악성코드를 확인하였으며, 취약점 발생 시 주요 행위는 아래와 같다. 취약점이 발현되면 쉘 코드는 메모리 영역에서 현재 프로세스명을 구해 “svchost.exe” 인지 확인한다. “svchost.exe” 인 경우, 현재 운영체제 버전을 검사한다. 프로세스명 확인 “svchost.exe” 프로세스에 삽입된 쉘 코드는 추가 악성코드를 %TEMP% 경로에 다운로드하며 이를 실행한다….

파일리스 형태의 블루킵(BlueKeep) 취약점 V3 행위탐지 영상

지난 5월 14일 MS는 블루킵(CVE-2019-0708) 취약점 패치를 위해 긴급 보안 업데이트를 공지하였다. 또한 이례적으로 서비스 지원을 중단한 OS(Windows XP, Windows Vista, Windows Server 2003)까지 업데이트를 제공하며 블루킵 취약점을 2017년의 이터널 블루 취약점과 같이 ‘Wormable’한 취약점으로 악용될 수 있음을 경고하였다. 블루킵은 클라이언트와 서버간의 RDP(Remote Desktop Protocol) 연결 과정 중 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송했을 때 Use-After-Free가 발생하여 원격 코드 실행이 가능한 취약점이다. 패치 업데이트가 최초 공개된 5월 14일 이후 4개월이 지난 9월 6일에는 메타스플로잇에 원격 코드 실행까지 가능한 POC가 공개되면서…