DRIDEX

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…

DoppelPaymer 랜섬웨어 동작방식 및 V3 탐지

최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다. https://www.etnews.com/20210218000110 https://news.mt.co.kr/mtview.php?no=2021021822141892938 https://www.dailysecu.com/news/articleView.html?idxno=120820 https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html 트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며, 실행된 악성코드(예: EMOTET)는 C&C 통신을 통해 [그림 3] 과 같이 Dridex 악성코드를 다운로드 하고 Dridex 악성코드로부터 DoppelPaymer 랜섬웨어가 다운로드 되었다고 설명하였다. 보고서에는 추가적으로 DoppelPaymer 랜섬웨어는 악성 루틴을 실행하기 위해서 실행…

Dridex 악성코드 다운로드 방식(WMIC 이용 XSL 실행)

지난 6월 ASEC 분석팀은 금융 정보 탈취형 악성코드로 알려진 Dridex의 새로운 유포 방식을 확인하였다. 이번에 확인된 유포 방식([그림 1])은 악성 매크로가 담긴 문서 파일 실행을 시작으로 정상 윈도우 유틸리티(WMIC.exe)을 활용하여 악성 XSL(Extensible Stylesheet Language) 문서 스크립트 파일을 실행하는 방식이다. 결과적으로 감염 PC에는 실행된 XSL 포맷 파일에 의해 Dridex가 실행된다. ※ XSL 포맷은 XML 형식으로 javascript, vbscript 등의 스크립팅을 지원하는 문서 포맷이다. [그림 1] Dridex 유포 및 동작 과정 아래 [그림 2]는 악성 문서파일 실행 시 자사의 엔드포인트 위협 탐지 &…