본문 바로가기

AGENTTESLA2

AgentTesla 악성코드 국내에 어떻게 유포되고 있나? 올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) 이와 비슷한 유포 방식을 이용하여 7월에는 azorult가 아닌 AgentTesla라는 정보유출형 악성코드가 유포되었다. 이 악성코는 ASEC.. 2020. 7. 28.
NSIS 설치파일 형태의 악성코드에서 사용중인 탐지 우회기법 악성코드 제작자는 백신사로부터 진단되지 않기 위해 다양한 시도를 해왔다. 과거에는 분석하기 어렵게 안티 디버깅 기법을 사용하거나 혹은 안티 VM 기법의 비중이 높았다면 지금은 SandBox를 우회하기 위해 시간 지연 방법 등을 사용한다. 이 글에서 소개될 NSIS(Nullsoft Scriptable Install System)는 윈도우용 인스톨 도구로 스크립트 기반으로 동작하기 때문에 외형이 특성상 정상 NSIS 인스톨러와 동일할 수 밖에 없으며, 특이한 점은 스크립트 내부에 시간 지연 코드가 있다는 점과 복호화된 쉘코드 내부에 SandBox를 우회하기 위한 유저 모드 후킹 우회 기법 등이 사용된다는 점이다. 이후 악성행위는 정상 프로세스에 인젝션하여 동작한다. 1. NSIS NSIS는 7zip(v15... 2020. 2. 11.