DDOS

코인 마이너를 설치하는 Shc 리눅스 악성코드

ASEC 분석팀은 최근 Shc로 개발된 리눅스 악성코드가 코인 마이너 악성코드를 설치하고 있는 것을 확인하였다. 공격자는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 사전 공격을 통해 인증에 성공한 뒤 다양한 악성코드들을 설치한 것으로 추정되며, Shc 다운로더 악성코드와 이를 통해 설치되는 XMRig 코인 마이너 그리고 Perl로 개발된 DDoS IRC Bot이 확인된다. 1. Shc (Shell Script Compiler) Shc는 Shell Script Compiler의 약자로서 Bash 쉘 스크립트를 ELF 실행 파일 포맷으로 변환해 주는 역할을 한다. Bash는 리눅스 운영체제에서 제공하는 기본 쉘로서 Bash 쉘이 지원하는 명령들은…

Amadey Bot을 설치하는 Nitol DDoS 악성코드

ASEC 분석팀은 최근 공격자가 Nitol DDoS Bot 악성코드를 이용해 Amadey를 설치하고 있는 것을 확인하였다. Amadey는 2018년경부터 유포되고 있는 악성코드로서 사용자의 정보를 탈취하는 기능 외에도 추가 악성코드들을 설치하는 목적으로 사용될 수 있는 다운로더 악성코드이다. Amadey는 올해부터 다시 활발하게 유포되고 있는데 올해 초부터 시작하여 최근까지도 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 유포되면서 여러 다른 악성코드들을 설치하고 있다.[1] 이외에도 올해 하반기에는 국내 기업 사용자들을 대상으로 하는 LockBit 3.0 랜섬웨어 공격에도 사용되고 있는데, 스팸 메일의 첨부 파일을 통해 유포되어 LockBit…

웹하드를 통해 유포 중인 HackHound IRC Bot

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT, DDoS IRC Bot과 같은 RAT 유형의 악성코드를 설치한다. 공격자들은 위에서 다룬 사례들처럼 주기적으로 다양한 유형의 악성코드를 사용하고 있다. ASEC 분석팀에서는 최근 “HH IRC Bot”이라고 하는 DDoS 봇 악성코드가 유포되고 있는…

웹하드를 통해 유포 중인 njRAT

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 최근에는 UdpRat이나 GoLang으로 개발된 DDoS IRC Bot 등 다양한 형태가 사용되고 있지만, 과거에는 아래와 같이 njRAT이 다수의 공격에서 사용되어 왔다. 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어 웹하드와 토렌트를 통해 유포 중인 njRAT ASEC 분석팀에서는 최근 웹하드를 통해 유포 중인 njRAT 악성코드를 확인하여 블로그에서 소개하려고…

웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)

ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다. 웹하드를 통해 유포 중인 UDP Rat 악성코드 최근 확인되고 있는 유포 사례는 기본적으로 위에서 다룬 사례와 유사하며 동일한 공격자가 아직까지 악성코드를 유포하고 있는 것으로 보인다. 성인 게임을 위장하여 악성코드를 유포하는 점 외에도 다운로더 악성코드를 거쳐 DDoS 악성코드를 설치하는 점 그리고…