anti sandbox

MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능

AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동을 요구된다. [그림 1]은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다.  [그림 2]의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다….

이메일 하이재킹을 통해 Bumblebee 악성코드 국내 유포 중

ASEC 분석팀은 최근 다운로더 유형의 악성코드인 Bumblebee 가 다수 유포되고 있는 정황을 포착하였다. Bumblebee 다운로더는 피싱 메일을 통해 ISO 파일로 유포되고 있으며, ISO 파일은 바로가기 파일과 악성 dll 파일을 포함하고 있다. 추가로, 이메일 하이재킹을 통해 국내 사용자를 대상으로 유포되는 사례도 확인되었다. 아래는 Bumblebee 다운로더를 유포하는 피싱 메일이다. 해당 메일은 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태이다. 해당 메일을 수신한 사용자의 경우, 정상적인 회신으로 판단하여 큰 의심 없이 첨부파일을 실행할 수 있어 주의가 필요하다. 추가로 확인되고 있는 피싱 메일…

CHM 악성코드에서 확인된 안티 샌드박스 및 기업 타겟 공격

ASEC 분석팀은 최근 국내 유포 중인 CHM 악성코드에서 안티 샌드박스 기법이 적용된 유형과 기업을 타겟으로 하는 유형이 존재하는 것을 확인하였다. 두 유형 모두 지난 3월과 5월, 아래 ASEC 블로그를 통해 소개한 유형이다. 먼저, 안티 샌드박스 기법이 적용된 CHM 유형은 악성 VBE 파일을 드롭하기 전에 사용자 PC 환경을 검사하게 된다. 악성 CHM 파일 내부에 포함된 HTML 코드는 아래와 같으며, HTML 은 정상 프로그램(EXE)과 악성 DLL 파일을 생성 후 실행하는 기능을 수행한다. DLL 하이재킹 기법을 통해 생성된 악성 DLL 이 로드되며, 해당…

특정 환경에서만 동작하는 새로운 동적 분석 우회 기법

ASEC 분석팀은 활발하게 유포되고 있는 악성코드들을 모니터링하던 중 새로운 형태의 동적 분석 우회 기법을 확인하였다. 최근 다수 유포되고 있는 악성코드들은 진단을 회피하기 위한 목적으로 악성코드 실행 환경을 확인 후 조건에 부합하면 Crash를 발생시켜 동작하지 않도록 한다. 이번에 소개될 기법은 특정 어셈블리 명령어를 사용하는 방법과 사이즈가 큰 메모리를 할당 가능한지에 대한 여부를 확인하는 방법이다. 1.     AVX 지원 여부(VXORPS 명령어) ‘VXORPS’ 명령어를 사용하여 AVX를 지원하지 않는 환경에서 동작하는 경우 Crash가 발생하는 악성코드는 주로 Visual Basic으로 만들어진 악성코드다. 최근에 소개된 ‘국내 기업을 사칭하여…