CoinMiner

악성코드 감염 시 단순히 치료에 그쳐서는 안되는 이유

2022년 1월 국내 제조업 분야 유수의 기업에서 내부의 다수 시스템이 Darkside 랜섬웨어에 감염되는 피해가 발생했다. AD 그룹 정책을 이용해 Darkside 랜섬웨어가 배포된 정황이 확인되어, DC 서버 포렌식 분석을 시도했으나 가상 환경에서 운영 중이었던 DC 서버의 가상 환경 운영 시스템 자체가 손상되어 DC서버를 확보할 수는 없었다. 대신에 Darkside 랜섬웨어에 감염 후 기존 백업을 활용해 복구된 시스템 중 WebLogic 서버 2대가 유사 시기에 WebShell에 감염된 것이 확인되어, Darkside 랜섬웨어의 감염 원인이 WebShell인지를 파악하고자 포렌식 분석을 수행했다.  이전 스냅샷으로 복구된 WAS1, WAS2 서버를 분석…

취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 이전 블로그에서는 CobaltStrike와 Remcos RAT이 유포된 사례를 다루었지만, 실제 확인되고 있는 공격의 상당 수는 코인 마이너 악성코드이다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2) 여기에서는 작년부터 최근까지 꾸준히 유포되고 있으며 동시에 높은 비율을 차지하고 있는 특정 유형의 코인 마이너 악성코드에 대해서 다룬다. 자사…

메타스플로잇 미터프리터를 이용한 공격 사례

메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 메타스플로잇은 코발트 스트라이크처럼 최초 감염을 위한 다양한 형태의 페이로드 생성부터 계정 정보 탈취, 내부망 이동을 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다. 코발트 스트라이크는 상용 프로그램이지만 크랙 버전이 유출되어 공격자들에 의해 자주 사용되고 있으며, 메타스플로잇은 기본적으로 공개된 오픈 소스임에 따라 손쉽게 사용이 가능하다. 여기에서는 메타스플로잇 미터프리터가 공격에 사용된 실제 사례를 다룬다. 메타스플로잇 미터프리터 코발트 스트라이크는…

V3 메모리 진단에 의한 AMSI 우회시도 탐지(코인마이너)

ASEC 분석팀은 AMSI 탐지 기능을 무력화하는 코인 마이너가 유포됨을 확인하였다. AMSI 기능은 Windows 10에 추가된 기능으로써 악성코드 탐지를 위해 응용 프로그램과 서비스를 AV 제품과 연동할 수 있도록 MS에서 지원하는 기능이다. 현재 V3 Lite4.0/V3 365 Clinic 4.0 제품에서는 AMSI 기능을 활용하여 블루크랩 랜섬웨어 등 다양한 악성코드를 대응하는데 사용하고 있다. https://asec.ahnlab.com/ko/21256/ (V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지) 이번에 AMSI 무력화를 수행하는 코인 마이너는 파워쉘 스크립트 활용한 파일리스 형태로 유포되고 있으며 코인 마이너 동작을 수행하기 전에 amsi.dll의 AmsiScanBuffer…