라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서 Posted By ASEC , 2022년 9월 22일 북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격 과정에서 보안 제품을 무력화하는 정황을 확인하였다. 공격 과정을 분석한 결과, 라자루스 그룹은 오래된 버전의 이니텍(INITECH) 프로세스를 악용하여 기업에 초기 침투를 수행한 뒤 공격자 서버로부터 루트킷 악성코드를 다운로드 받아 실행하였다. 이번…
은폐형 악성코드 PurpleFox 감염여부 확인 및 치료 Posted By ASEC , 2022년 2월 14일 PurpleFox 악성코드는 2018년에 처음 발견되었다. 당시에는 자체 개발한 드라이버를 이용해 악성코드를 은폐하였지만, 2019년부터 오픈소스 ‘Hidden’을 커스터마이즈하여 이용하였으며, 2020년 중반부터는 공격자가 다양한 기능을 추가하기 위해 테스트 하는 것이 포착되었다. PurpleFox는 최종적으로 코인 마이너 악성코드지만 추가 악성코드를 설치하는 다운로더 역할을 수행하며 연결된 다른 PC에 전파하는 기능도 가지고 있다. 현재까지 알려진 유포 방법은 브라우저 취약점을 이용하거나 특정 프로그램으로 사칭, 피싱메일을 이용한 방법 등이며, 2022년 1월 해외에서는 ‘Telegram’ 설치 프로그램으로 사칭해 유포되고 있음이 확인되었다. 루트킷을 이용한 악성코드는 특정 파일나 특정 프로세스 혹은 레지스트리 키…
MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 Posted By ASEC , 2012년 1월 27일 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 “Malware Leveraging MIDI Remote Code Execution Vulnerability Found“를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 “MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)“와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다. 그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일…
ASEC 보안 위협 동향 리포트 2011 Vol.21 발간 Posted By ASEC , 2011년 11월 16일 안철수연구소 ASEC에서 2011년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.21을 발간하였다. 이 번에 발간된 ASEC 리포트는 2011년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. * 10월 주요 보안 위협 이슈들 MySQL 사이트에 삽입된 악성 스크립트 스티브 잡스 사망 관련 메일로 위장한 악성코드 Smiscer Rootkit QR 코드를 통해 감염되는 안드로이드 악성코드 발견 NETFLIX 위장 안드로이드 악성 애플리케이션 CVE-2011-2140 취약점을 이용한 악성코드 유포 플래시가 당신 컴퓨터의 웹 카메라와 마이크를 조종한다 리눅스 Tsunami DDoS 공격 툴의 맥 OS X 포팅 국내PC를 감염 목표로 하는 부트킷 상세 분석 안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 ASEC 보안 위협 동향 리포트 2011 Vol.21 발간
은폐된 악성파일 수집 및 삭제 방법(Gmer) Posted By ASEC , 2009년 8월 24일 악성코드는 시스템에서 오랜기간 생존하기 위해 보안 제품에 탐지 및 제거되지 않으려 다양한 방법을 사용합니다. 이러한 방법중 루트킷(RootKit) 을 이용하여 파일을 은폐하는 방법이 있습니다. [루트킷(RootKit)] 시스템의 루트(Root) 권한을 얻는 도구(Kit), 루트킷을 사용하여 파일을 은폐하거나 쉽게 삭제할 수 없도록 할 수 있습니다. 은폐된 파일을 윈도우의 작업 관리자 창과 같이 일반적인 방법으로 확인할 수 없기 때문에 안티-루트킷 툴(Anti-RootKit Tool)을 사용해야 합니다. 이 글에서는 안티-루트킷 툴 중에서 GMER를 사용하여 은폐된 파일을 수집하고 삭제하는 방법에 대해서 알아보겠습니다. 시작에 앞서, 아래의 주소에서 GMER Application을 다운로드 하실 수 있습니다. [GMER 다운로드 안내] * GMER 공식 홈페이지 : http://www.gmer.net * GMER Application 다운로드 : http://www2.gmer.net/gmer.zip GMER을 실행시켰을 때 은폐된 파일이 존재할 경우 아래와 같은 메세지박스가 출력됩니다. 그리고 은폐된 파일은 빨간색 글씨로 출력됩니다. 아래와 같은 메세지박스가 출력되면 “아니오“를 클릭하고 계속 진행하겠습니다. 우선 상기의 빨간색으로 표시된 은폐된 파일은…