AGENTTESLA

지속적으로 유포되는 파워포인트 유형의 악성 첨부파일

지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하여 이를 알리려 한다. 4월에 소개한 내용은 파워포인트에 포함된 매크로가 실행되면 mshta.exe를 이용하여 악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는 powershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보다 더 복잡해진 것이 특징이라고 할 수 있다. VBA 코드를 포함하는 PPAM 파일의 매크로가 실행되면 mshta.exe를 통해 외부의 스크립트를 호출하며 해당 웹페이지는 악성 스크립트가 삽입되어있는 blogger 웹사이트(Final…

피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!

ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’)은 Blogspot 웹페이지에 악성 스크립트 코드를 삽입하여 Lokibot 악성코드를 유포하는 것을 담은 내용이다. 이번에는 위의 방법 두 가지를 조합하여, Blogspot 웹페이지에 삽입한 악성…

AgentTesla 악성코드 국내에 어떻게 유포되고 있나?

올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) 이와 비슷한 유포 방식을 이용하여 7월에는 azorult가 아닌 AgentTesla라는 정보유출형 악성코드가 유포되었다. 이 악성코는 ASEC 분석팀에서 매주 업로드하고 있는 ‘주간 악성코드 통계’에서 확인 할 수 있듯 TOP 5안에 꾸준히 등장하는 국내에서 아주 활발히 유포 중인…

NSIS 설치파일 형태의 악성코드에서 사용중인 탐지 우회기법

악성코드 제작자는 백신사로부터 진단되지 않기 위해 다양한 시도를 해왔다. 과거에는 분석하기 어렵게 안티 디버깅 기법을 사용하거나 혹은 안티 VM 기법의 비중이 높았다면 지금은 SandBox를 우회하기 위해 시간 지연 방법 등을 사용한다. 이 글에서 소개될 NSIS(Nullsoft Scriptable Install System)는 윈도우용 인스톨 도구로 스크립트 기반으로 동작하기 때문에 외형이 특성상 정상 NSIS 인스톨러와 동일할 수 밖에 없으며, 특이한 점은 스크립트 내부에 시간 지연 코드가 있다는 점과 복호화된 쉘코드 내부에 SandBox를 우회하기 위한 유저 모드 후킹 우회 기법 등이 사용된다는 점이다. 이후 악성행위는 정상 프로세스에 인젝션하여 동작한다….