본문 바로가기

PowerShell2

Avaddon 랜섬웨어 유포 스크립트 및 V3 행위탐지 지난 6월 26일 "RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)"라는 제목으로 블로그를 통해 분석 정보를 공유하였다. ASEC 분석팀은 금일 이 Avaddon 랜섬웨어 유포에 사용된 자바 스크립트 파일을 확인하여 이에 대한 내용과 해당 유포에 사용된 방법이 V3 행위탐지에 의해 사전 차단되는 내용을 소개하고자 한다. RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자) 6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당 asec.ahnlab.com 아래의 코드가 실제 해당 랜섬웨어.. 2020. 6. 26.
SMB 전파기능의 Lemon_Duck 악성코드 유포 ASEC 분석팀은 레몬덕(Lemon_Duck)이라 불리는 파워쉘 악성코드가 국내에서 유포된 것을 확인하였다. 이 악성코드는 복잡한 과정을 거쳐 다양한 중간 악성 파워쉘을 통해 감염되며 SMB(Server Message Block) 취약점(MS17-010), RDP 무차별 대입 공격 등 다양한 공격 기법을 이용해 동일한 네트워크 상에 연결된 시스템에 확산된다. [그림 1]과 레몬덕 악성코드의 동작 과정을 구조화한 것이고, [표 1]은 공격 단계별 악성코드의 정보를 요약한 것이다. 구체적으로 살펴보면, 조직 내부 유입 후 SMB 취약점에 의해 서비스가 실행되어 작업 스케줄러에 파워쉘 명령을 등록한다. 이렇게 등록된 파워쉘 명령이 파워쉘 스크립트(Powershell_1)를 다운로드 및 실행한다. 이 파워쉘 스.. 2019. 12. 3.