저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지) Posted By muhan , 2023년 9월 8일 AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일 정보를 보아 대한민국과 대만에 유포된 것으로 추정된다. 파일명 저작권 침해 관련 영상 이미지.exe 자세한 영상.exe 불법 복제에 관한 자료-OO 엔터테인먼트.exe 涉及侵犯版權的視頻圖像.exe (번역 : 저작권 침해와 관련된 동영상 이미지) 제품 오류…
세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지) Posted By muhan , 2023년 8월 4일 AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다. 안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일 기반의 위협 탐지 및 격리 기능(MTA)을 제공하고 있다. 아래 [그림 3]은 안랩 MDS 제품의 Guloader 악성코드 탐지 보고서 화면이다. 당시에 Guloader 다운로더 악성코드는 공격자 서버로부터 Remcos 악성코드를 다운로드하였다. Remcos는 스팸…
MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 Posted By ohmintaek , 2023년 3월 17일 AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동을 요구된다. [그림 1]은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다. [그림 2]의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다….
AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어 Posted By Bellyoon , 2023년 1월 27일 다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드 랜섬웨어의 기능은 아래와 같다. 1) 랜섬웨어의 암호화 대상 제외 목록정상 프로세스에 인젝션된 랜섬웨어는 특정 폴더 및 파일명을 제외한 나머지 모든 파일을 암호화한다. 아래 [표 1], [표 2]는 암호화 제외와 관련된…
안랩 MDS(국내명:트러스와처), NSS의 정보유출 진단 테스트에서 높은 점수 획득 Posted By ASEC , 2013년 8월 2일 – 안랩 MDS, 94.7 퍼센트의 정보유출 방지 및 진단율을 기록 글로벌 정보보안 기업인 안랩[대표 김홍선, http://www.ahnlab.com]의 APT대응 전문 솔루션 ‘안랩 MDS [AhnLab Malware Defense System, 국내제품명 트러스와처]’가 권위있는 글로벌 독립 보안테스트 기관인 NSS Labs[www.nsslabs.com,이하 NSS]가 7월에 실시한 ‘정보유출 진단 제품 분석[Breach Detection System Product Analysis]’테스트에서 높은 점수를 획득했다. 최근 몇 개월 간, NSS는 미국 텍사스에 위치한 자사 연구소에서 APT성 공격으로 인한 정보유출 대응에 대한 심도있는 테스트를 실시했다. 이번 테스트는 인터넷 및 이메일로 전파되는 악성코드, 취약점, 보안제품 우회 악성코드 및 전체적인 정보유출 진단 및 치료에 대한 항목으로 실시되었다. 안랩MDS는 이번 장기간 테스트에서 94.7 퍼센트의 정보유출 방지 및 진단율을 기록해 높은 점수를 획득했다. 안랩 MDS는 신속한 악성코드 진단과 광범위한 전사 시스템 보호, 자동 치료 기능을 제공한다. 특히, 유일한 전용 하드웨어…
