원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지
원격 제어 도구는 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 코로나와 같은 환경에서 재택근무 솔루션으로서도 활용이 가능하며 무인 단말기를 원격에서 제어, 관리 및 보수하는 용도로도 활용된다. 이렇게 정상적인 관리 목적으로 사용하는 원격 제어 도구를 RAT 즉 “Remote Administration Tool”라고 부른다. 참고로 Remcos RAT이나 njRAT, Quasar RAT, AveMaria와 같이 원격에서 감염
RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지
원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한
EDR을 활용한 3CX 공급망 침해 사고 추적
지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll,
EDR을 활용한 CHM 악성코드 추적
AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. 패스워드 파일로 위장하여 유포 중인 악성코드 – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께
AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어
다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드
