CobaltStrike를 이용한 아파치 웹 서버 대상 크립토재킹 공격 캠페인 Posted By Sanseo , 2023년 11월 14일 AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. 윈도우 환경을 지원하는 웹 서비스들로는 대표적으로 Internet Information Services(IIS)와 아파치(Apache), 아파치 톰캣(Tomcat) 그리고 Nginx 등이 존재한다. 아파치 웹 서비스는 주로 리눅스 웹 서버에서 사용하는 편이지만 윈도우 운영체제도 함께 지원하기 때문에 윈도우 환경에서 서비스를 제공하는 경우도 소수 존재한다. ASEC에서는 최근 아파치 웹…
이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례 Posted By Sanseo , 2023년 1월 17일 ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그들을 통해 다양한 유형의 코인 마이너 악성코드 공격 사례를 소개한 바 있다. 최근에는 이더리움 클래식 코인을 마이닝하는 악성코드들이 확인되고 있어 본 포스팅에서 소개하려고 한다. 0. 개요 코인 마이너 악성코드는 사용자의 인지 없이 설치되어 시스템의 자원을 이용해 가상화폐를 채굴하는 악성코드로서 감염 시스템의 성능 저하를 유발한다. 코인 마이너를 유포하는 공격자들은 이러한 행위 자체가 불법이기 때문에 추적을 방해하기 위해 주로 모네로와 같이 익명성을 보장하는 코인을 마이닝하는 경향이 있다. 이에 따라…
한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT Posted By Sanseo , 2023년 1월 4일 ASEC 분석팀은 최근 Orcus RAT이 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것을 확인하였다. 이를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRAT과 XMRig 코인 마이너를 유포하였던 공격자와 동일하다.[1] 공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티바이러스의 행위 탐지를 우회하기 위해 복잡한 과정을 거친다거나, 작업 스케줄러에 파워쉘 명령을 등록하여 주기적으로 최신 악성코드들을 설치하는 등 과거와 비교해 훨씬 정교한 형태로 변화되었다. 웹하드는 토렌트와 함께 국내 사용자를 대상으로 하는 공격자들이 사용하는…
취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 Posted By ASEC , 2022년 7월 15일 ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를 통해 제공된다. 다수의 기업들에서 사용되는 유명한 솔루션이다 보니 과거부터 꾸준히 취약한 컨플루언스 서버 및 데이터 센터를 대상으로 하는 취약점들이 발견되고 있으며 공격자들에 의해 패치되지 않은 시스템들이 공격 대상이 되고 있다….
악성코드 감염 시 단순히 치료에 그쳐서는 안되는 이유 Posted By ASEC , 2022년 5월 12일 2022년 1월 국내 제조업 분야 유수의 기업에서 내부의 다수 시스템이 Darkside 랜섬웨어에 감염되는 피해가 발생했다. AD 그룹 정책을 이용해 Darkside 랜섬웨어가 배포된 정황이 확인되어, DC 서버 포렌식 분석을 시도했으나 가상 환경에서 운영 중이었던 DC 서버의 가상 환경 운영 시스템 자체가 손상되어 DC서버를 확보할 수는 없었다. 대신에 Darkside 랜섬웨어에 감염 후 기존 백업을 활용해 복구된 시스템 중 WebLogic 서버 2대가 유사 시기에 WebShell에 감염된 것이 확인되어, Darkside 랜섬웨어의 감염 원인이 WebShell인지를 파악하고자 포렌식 분석을 수행했다. 이전 스냅샷으로 복구된 WAS1, WAS2 서버를 분석…
