본문 바로가기

악성코드117

[주의] 코로나 바이러스와 연관된 악성코드 다수 유포 ASEC 분석팀은 세계적으로 이슈인 코로나 바이러스와 연관된 악성 코드들이 유포되고 있는 것을 확인하였다. 문서 내용이나 파일 이름 등이 코로나 바이러스와 관련되어 있으며, 2월말부터 현재까지 다양한 형태로 꾸준히 유포되고 있다. 초기 유포되던 악성코드는 테스트용이나 조크성 파일 등으로 유포된 반면, 최근에는 백도어, 다운로더 등 다양한 유형의 악성코드로 유포되고 있어 사용자의 큰 주의가 필요하다. 2020/02/25 [주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 [주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 전 세계적으로 이슈인 코로나 바이러스를 이용한 악성코드들이 다수 발견되고 있다. 테스트 파일, JOKE 파일, 실제 악성 파일까지 다양하게 존재하며 현재 코로나 바이.. 2020. 3. 24.
구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취) 3월 14일, ASEC 분석팀은 '구매확인서 발급 확인요청'으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다. 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되.. 2020. 3. 17.
악성 매크로 코드를 '좀 더' 숨긴 엑셀 파일 유포 - very hidden 새로운 방식으로 악성 매크로 코드를 숨긴 엑셀 파일이 발견되었다. 이번 파일은 엑셀 4.0 (XLM) 매크로 시트를 이용하였는데, 기존의 악성 매크로 시트를 단순히 숨겼던 방식에서 일반적인 사용자 인터페이스로는 숨김 속성을 없앨 수 없게 없게 변경하였다. VBA 매크로 코드 방식을 이용하지도 않고 XLM 매크로 시트를 직접 확인할 수도 없기 때문에 문서 내에 악성 코드가 어디에 존재하는지 바로 확인하기 어렵다. 파일명 - invoice_805274.xls 생성일 - 2020-03-09 15:30:32 MD5 - a7b074da0251f0f8952090967846737e 엑셀 4.0 매크로 시트를 이용한 악성 파일은 2019년 초 활발하게 유포되었다. 당시 유포된 파일은 매크로 시트를 숨기기(Hide) 함.. 2020. 3. 11.
동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램 타겟으로 다양한 악성코드를 삽입하여 유포한 것으로 랜섬웨어(RaaS: Ransomware as a Service) 뿐 아니라 다양한 악성코드가 서비스 형태로 유포되는 것으로 추정된다. Nemty, Ryuk, BlueCrab, Raccoon, Predator 이름의 악성코드들은 기존에도 특정 패커로 포장되어 지속적으로 유포되어 왔지만 이번에 발견된 외형(패커: Packer)은 현재까지 사용된 것과는 구조와 형식이 특이하다. 현재 확인된 외형은 [그림2]와 같이 파일.. 2019. 12. 11.
Pastebin 서비스를 이용한 원격 제어 악성코드 온라인상에 텍스트나 소스코드 데이터를 저장해서 공유할 수 있는 Pastebin (페이스트빈) 서비스를 이용한 악성코드가 발견되었다. Pastebin 서비스에 Raw 데이터 텍스트 스트링을 올려두면 부여되는 고유한 URL을 통해 접속할 수 있는 점을 이용하였다. 악성코드는 성인물로 위장하여 ‘2.zip’ 압축 파일명으로 유포되었다. 실행된 악성코드는 단독으로 동작하거나 실행되지 않고 여러 개의 Visual Basic 스크립트 파일과 EXE 실행 파일을 만들거나 메모리에 로드하여 최종 파일을 생성한다. 이 과정에서 악성코드는 Pastebin 도메인의 각기 다른 4개 URL에 접속하여 해당 주소의 텍스트 데이터를 받아 악성코드를 로딩하는 데 이용한다. 최종 실행되는 파일은 ‘njRAT’ 이름을 가진 원격 제어.. 2018. 4. 23.
스팸 메일로 유포되는 Hancitor 악성코드 재활동 스팸 메일에 첨부되어 유포되는 Microsoft Office 문서 파일 악성코드 중 Hancitor (Chanitor) 유형이 2016년 이후 다시 활발히 유포되고 있는 정황이 확인되었다. Hancitor 악성코드는 VBA 매크로를 이용하여 ‘사용자 정의 폼’ 내부의 암호화 된 쉘코드를 이용하여 생성한 PE를 정상 프로세스에 인젝션하여 악성 기능을 수행한다. 관련하여 2016년 다음과 같은 제목으로 본 블로그에 분석 정보를 제공하였다. ‘MS 워드 문서에서 폼 개체를 활용한 악성코드’ - http://asec.ahnlab.com/1052 최근 유포되고 있는 Hancitor 악성코드는 2016년과 비교했을 때 폼 개체 이용 및 프로세스 인젝션을 비롯한 전체적인 동작 방식에는 큰 변화가 없다. 부분적으로 쉘.. 2018. 3. 22.
웹 브라우저를 통해 마이닝 동작하는 악성코드 암호화폐 시장이 달아오름과 동시에 채굴 방식 또한 점차 다양해지고 있다. PC에 악성 채굴기 실행파일을 몰래 설치하는 악성코드뿐만 아니라, 웹 브라우저를 기반으로 하여 암호화폐를 채굴하는 방식이 2017년부터 폭증하고 있다. 웹 브라우저 기반으로 동작하는 마이닝 방식은 기존의 실행 파일 기반과는 다르게 악성 자바스크립트(JavaScript)를 이용해 동작한다. 자바스크립트는 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 로드할 수 있으며, 해당 웹 페이지에 접속했을 때 접속자는 개인 하드웨어 자원을 이용하여 채굴을 하게 되고 그 결과는 공격자의 지갑 주소에 전송된다. 파일 기반의 악성코드는 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정.. 2018. 1. 17.
2014년 예상 7대 보안 위협 트렌드 발표 - 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측 안랩[대표 권치중, www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다. 1] APT방식의 악성코드 고도화와 표적[target] 확대2013년까지 기업이나 기관 등 특정 표.. 2014. 1. 10.