MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 Posted By ohmintaek , 2023년 3월 17일 AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동을 요구된다. [그림 1]은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다. [그림 2]의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다….
