AhnLab MDS를 활용한 계정 정보 탈취 악성코드 탐지 (웹 브라우저, 이메일, FTP)
일반적으로 사용자들은 편의를 위해 웹 브라우저나 이메일 / FTP 클라이언트와 같은 프로그램들에서 자동 로그인 기능을 사용하며 결과적으로 각 프로그램들은 설정 데이터에 사용자의 계정 정보들을 저장한다. 이러한 기능은 사용자에게 편의성을 주지만 보안상 문제점도 존재하는데 공격자에 의해 사용자의 계정 정보가 쉽게 탈취당할 수 있기 때문이다. 만약 악성코드나 공격자가 감염 시스템에 대한 제어를
저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지)
AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일
세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지)
AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다. 안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일
MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능
AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이
AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어
다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드
