EDR을 활용한 3CX 공급망 침해 사고 추적 Posted By muhan , 2023년 4월 28일 지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll, d3dcompiler_47.dll가 로드되어 악성 행위를 하였으며 최종적으로 다운로더 쉘코드가 3CXDesktopApp.exe 프로세스의 메모리 상에서 실행되었다. 분석 당시 추가 다운로드 악성코드는 확인되지 않았지만, 정보 유출형 악성코드가 실행된 것으로 알려져 있다. 안랩 EDR(Endpoint Detection…
EDR을 활용한 CHM 악성코드 추적 Posted By muhan , 2023년 3월 21일 AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및…
AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어 Posted By Bellyoon , 2023년 1월 27일 다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드 랜섬웨어의 기능은 아래와 같다. 1) 랜섬웨어의 암호화 대상 제외 목록정상 프로세스에 인젝션된 랜섬웨어는 특정 폴더 및 파일명을 제외한 나머지 모든 파일을 암호화한다. 아래 [표 1], [표 2]는 암호화 제외와 관련된…
