블랙프라이데이 시즌을 노린 기업 타겟 악성 엑셀 문서 유포 Posted By ASEC , 2021년 11월 25일 블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있다. 오늘 11월 25일 확인된 이메일은 국내 모 기업에서 접수되었다. 이메일은 엑셀 문서를 첨부 파일로 포함하고 있었다. 엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인하여 추가 악성 기능이 실행한다. 첨부된 엑셀 문서는 파일명이 ‘promo details-[숫자].xlsb’ 형식이고 XLSB 파일 포맷인 것이 특징이다. XLSB은 엑셀 바이너리 파일 포맷으로서, 기존의 XLS 또는 XLSX 파일과는 다소 다른 파일 구조를 보인다. XLSX가 스트링 기반의…
라이브러리 파일 이용 국내 기업 APT 공격 Posted By ASEC , 2021년 5월 13일 최근 국내 기업들을 대상으로 지속적인 타깃 공격이 발생하였다. 기업의 침해 시스템에서 수집된 악성 파일 중 상당수는 동적 라이브러리(DLL) 파일이었다. 그러나 이번 공격에 사용된 파일은 일반적인 DLL 파일과는 달랐다. 수집된 파일은 정상 라이브러리가 다양한 방식으로 악의적으로 변조된 파일이었다. 어떤 경로로 시스템에 악성 파일이 생겼는지, 최초 공격 유입 경로는 무엇이었는지는 알려지지 않았다. 또한 단독 실행이 불가능한 라이브러리 특성상 이를 실행하는 트리거 행위나 추가 파일 정보도 확인되지 않았다. 그러나 현재까지 수집된 파일만으로도 이번 공격의 명확한 특징이 있다. 정상 라이브러리(DLL) 파일의 Export 정보를 변조(추가,…
패치드(Patched) 형태의 악성코드 변천사 Posted By ASEC , 2012년 10월 18일 ASEC에서는 그 동안 악성코드에 의해 정상 윈도우(Windows) 시스템 파일을 변조시켜 악의적인 기능을 수행하는 패치드(Patched) 형태의 악성코드에 대한 정보들을 공개하였다. 특히 다양한 온라인 게임의 사용자 정보들을 탈취하는 온라인 게임 관련 트로이목마(OnlineGameHack)에 의해 온라인 게임의 메인 실행 프로세스의 주소 공간에 악성코드인 DLL 파일을 안정적으로 실행시키기 위해 윈도우 시스템의 정상 DLL 파일들을 감염 시키는 형태가 자주 발견되고 있다. 이러한 형태의 악성코드들을 일반적으로 패치드(Patched) 형태의 악성코드라고 불리고 있으며, 현재까지 발견된 악성코드에 의해 사용되는 패치드 기법들을 다음과 같이 정리 할 수 있다. 1. DLL 파일에 악의적인 DLL 파일을 로드하는 코드 삽입 후 이 코드로 분기하도록 패치하는 형태 일반적으로 많이 알려진 패치드 형태로서, 과거 3년 전부터 발견되기 시작하였으며, 주로 패치의 대상이 되었던 윈도우 정상 DLL 파일들은 imm32.dll, olepro32.dll, dsound.dll과 같다. 패치가 된 DLL 파일은 위 이미지와 같이 파일의 섹션 끝 부분에 쉘코드(Shellcode)가 삽입 되어…
