EDR

RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지

원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며 이를 이용해 로그온 하는 과정이 필요하다. 이에 따라 RDP가 활성화되어 있는 시스템이 외부에 공개되어 있을 경우 공격자들은 브루트 포싱 공격(또는 사전 공격)을 수행해 자격 증명…

EDR을 활용한 3CX 공급망 침해 사고 추적

지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll, d3dcompiler_47.dll가 로드되어 악성 행위를 하였으며 최종적으로 다운로더 쉘코드가 3CXDesktopApp.exe 프로세스의 메모리 상에서 실행되었다. 분석 당시 추가 다운로드 악성코드는 확인되지 않았지만, 정보 유출형 악성코드가 실행된 것으로 알려져 있다. 안랩 EDR(Endpoint Detection…

EDR을 활용한 CHM 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및…

AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어

다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드 랜섬웨어의 기능은 아래와 같다. 1) 랜섬웨어의 암호화 대상 제외 목록정상 프로세스에 인젝션된 랜섬웨어는 특정 폴더 및 파일명을 제외한 나머지 모든 파일을 암호화한다. 아래 [표 1], [표 2]는 암호화 제외와 관련된…