AhnLab MDS를 활용한 계정 정보 탈취 악성코드 탐지 (웹 브라우저, 이메일, FTP) Posted By Sanseo , 2024년 1월 24일 일반적으로 사용자들은 편의를 위해 웹 브라우저나 이메일 / FTP 클라이언트와 같은 프로그램들에서 자동 로그인 기능을 사용하며 결과적으로 각 프로그램들은 설정 데이터에 사용자의 계정 정보들을 저장한다. 이러한 기능은 사용자에게 편의성을 주지만 보안상 문제점도 존재하는데 공격자에 의해 사용자의 계정 정보가 쉽게 탈취당할 수 있기 때문이다. 만약 악성코드나 공격자가 감염 시스템에 대한 제어를 획득한 경우 다양한 도구들을 이용해 사용자의 계정 정보를 탈취할 수 있으며 이러한 계정 정보 탈취 기능을 주요 목적으로 하는 인포스틸러 악성코드도 존재한다. 만약 악성코드가 이미 알려진 악성코드라면 엔드포인트에 설치된 기존…
저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지) Posted By muhan , 2023년 9월 8일 AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일 정보를 보아 대한민국과 대만에 유포된 것으로 추정된다. 파일명 저작권 침해 관련 영상 이미지.exe 자세한 영상.exe 불법 복제에 관한 자료-OO 엔터테인먼트.exe 涉及侵犯版權的視頻圖像.exe (번역 : 저작권 침해와 관련된 동영상 이미지) 제품 오류…
세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지) Posted By muhan , 2023년 8월 4일 AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다. 안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일 기반의 위협 탐지 및 격리 기능(MTA)을 제공하고 있다. 아래 [그림 3]은 안랩 MDS 제품의 Guloader 악성코드 탐지 보고서 화면이다. 당시에 Guloader 다운로더 악성코드는 공격자 서버로부터 Remcos 악성코드를 다운로드하였다. Remcos는 스팸…
MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 Posted By ohmintaek , 2023년 3월 17일 AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동을 요구된다. [그림 1]은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다. [그림 2]의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다….
AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어 Posted By Bellyoon , 2023년 1월 27일 다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드 랜섬웨어의 기능은 아래와 같다. 1) 랜섬웨어의 암호화 대상 제외 목록정상 프로세스에 인젝션된 랜섬웨어는 특정 폴더 및 파일명을 제외한 나머지 모든 파일을 암호화한다. 아래 [표 1], [표 2]는 암호화 제외와 관련된…
