LockBit 5.0 심층 분석 보고서: 동작 원리와 대응 방안
LockBit(락빗, 록빗)은 2019년 9월 처음 등장한 이후 세계에서 가장 악명 높고 활발히 활동하는 Ransomware-as-a-Service(RaaS) 조직 중 하나로 알려져 있다. LockBit은 RaaS 모델로 운영되며 정교한 암호화 기술과 자동화된 확산 능력을 특징으로 한다. 초기 침입은 주로 취약점 공격, 무차별 대입, 피싱, 또는 유출된 로그인 정보를 통해 이루어지며 공격은 초기 접근, 측면 이동
정보 탈취형 악성코드 LummaC2, 가짜 캡차 인증 페이지를 통해 유포 중
ASEC(AhnLab SEcurity intelligence Center)에서는 붙여넣기 기능을 활용하여 유포되는 DarkGate 악성코드를 소개한 바 있다. 붙여넣기 기능으로 명령어 실행을 유도하는 피싱 메일 주의 해당 사례의 유포 방식은 MS Word 파일 열람을 위장한 HTML 첨부파일(피싱메일)을 통해 악성코드를 유포하였으나, 최근에는 가짜 캡차 인증 페이지를 통해 유포되는 정보 탈취형 악성코드(LummaC2)가 확인되었다. 1. 유포 경로 초기
V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지
V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다. AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1]
