MS-SQL 서버를 공격하는 HiddenGh0st 악성코드 Posted By Sanseo , 2023년 9월 14일 Gh0st RAT은 중국의 C. Rufus Security Team에서 개발한 원격 제어 악성코드이다. [1] 소스 코드가 공개되어 있기 때문에 악성코드 개발자들이 이를 참고하여 다양한 변종들을 개발하고 있으며 최근까지도 지속적으로 공격에 사용되고 있다. 비록 소스 코드가 공개되어 있지만 Gh0st RAT은 중국 기반의 공격자들이 주로 사용하는 것이 특징이다. 이전 블로그에서도 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 Gh0st RAT의 변종인 Gh0stCringe RAT이 유포된 사례를 공개한 바 있다. [2] 다양한 Gh0st RAT 변종들은 MS-SQL 서버를 대상으로 하는 공격에도 자주 사용된다. AhnLab Security Emergency response Center(ASEC)에서는 부적절하게 관리되고…
리눅스 시스템을 노리는 Reptile 악성코드 Posted By Sanseo , 2023년 7월 21일 Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 달리 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. Reptile의 지원하는 기능들 중 가장 특징적인 것은 Port Knocking 기법이다. Port Knocking 방식은…
라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서 Posted By ASEC , 2022년 9월 22일 북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격 과정에서 보안 제품을 무력화하는 정황을 확인하였다. 공격 과정을 분석한 결과, 라자루스 그룹은 오래된 버전의 이니텍(INITECH) 프로세스를 악용하여 기업에 초기 침투를 수행한 뒤 공격자 서버로부터 루트킷 악성코드를 다운로드 받아 실행하였다. 이번…
은폐형 악성코드 PurpleFox 감염여부 확인 및 치료 Posted By ASEC , 2022년 2월 14일 PurpleFox 악성코드는 2018년에 처음 발견되었다. 당시에는 자체 개발한 드라이버를 이용해 악성코드를 은폐하였지만, 2019년부터 오픈소스 ‘Hidden’을 커스터마이즈하여 이용하였으며, 2020년 중반부터는 공격자가 다양한 기능을 추가하기 위해 테스트 하는 것이 포착되었다. PurpleFox는 최종적으로 코인 마이너 악성코드지만 추가 악성코드를 설치하는 다운로더 역할을 수행하며 연결된 다른 PC에 전파하는 기능도 가지고 있다. 현재까지 알려진 유포 방법은 브라우저 취약점을 이용하거나 특정 프로그램으로 사칭, 피싱메일을 이용한 방법 등이며, 2022년 1월 해외에서는 ‘Telegram’ 설치 프로그램으로 사칭해 유포되고 있음이 확인되었다. 루트킷을 이용한 악성코드는 특정 파일나 특정 프로세스 혹은 레지스트리 키…
MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 Posted By ASEC , 2012년 1월 27일 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 “Malware Leveraging MIDI Remote Code Execution Vulnerability Found“를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 “MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)“와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다. 그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일…
