MS 정상 유틸리티 mavinject.exe를 이용한 인젝션 공격 사례
1. 개요 Mavinject.exe는 Microsoft에서 제공하는 정식 유틸리티로 Application Virtualization(App-V) 환경에서 DLL을 특정 프로세스에 인젝션하는 용도로 사용된다. Windows 10 버전 1607부터 운영체제에 기본 포함되어 있으며 Microsoft의 디지털 서명이 적용된 신뢰할 수 있는 실행 파일이기 때문에, 대부분의 보안 솔루션에서는 해당 프로세스를 신뢰 목록(화이트리스트)에 포함시키는 경향이 있다. 공격자들은 이와 같은 맹점을 이용하여 정상
Kimsuky 그룹, ADS를 활용하여 악성코드 은폐
AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다. 터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다. hostname systeminfo net user
