악성코드 정보1153 Ammyy 해킹툴에서 확인된 Shim Database(SDB) 인젝션 공격 ASEC은 FlawedAmmyy 백도어에서 Clop 랜섬웨어까지의 흐름을 확인 중 흔치 않은 방식의 공격 기법이 확인되어 알리고자 한다. Ammyy 백도어는 이전 블로그(https://asec.ahnlab.com/1237) 에서 언급한 바와 같이 사회공학적인 방법으로 시작하여 다운로더를 거쳐 최종적으로 백도어 악성코드가 설치되는 방식으로 동작한다. 이후 일종의 잠복기를 거쳐 CLOP 랜섬웨어가 설치되어 사용자의 시스템을 암호화하는데, Ammyy 백도어가 생성한 악성코드들 중 윈도우 어플리케이션 Shim Database 즉 sdb 파일을 악용하여 시스템에 또 다른 백도어를 사용자가 인식하기 힘든 방식으로 설치하는 종류의 악성코드들이 확인되었다. loader32.exe 등의 이름으로 생성되는 Injector.. 2019. 9. 2. 워드 문서파일과 자바스크립트 형태로 유포되는 TrickBot 최근 국내 기업으로부터 난독화 되어 있는 스크립트 샘플이 접수되었다. 이는 2019년 초부터 해외에서 대량으로 유포되고 있는 Trickbot 다운로더로, 매크로를 사용하는 문서 파일 내부에 Javascript 파일이 내장되어 있어 이를 실행하면 Javascript가 악성 실행 파일을 다운받는 형태이다. 1. 문서 형태로 유포 WORD문서를 실행하면 아래 그림과 같이 ‘이전 버전에 만들어진 문서’라는 가짜 문구와 함께 ‘콘텐츠 사용’을 클릭하라는 문장이 적혀있다. 이는 VBA 매크로를 실행시켜 악성 스크립트를 동작하려는 속임수로 PC사용자는 가급적 알 수 없는 문서의 ‘콘텐츠 사용’ 버튼 누르는 것을 피해야 한다. 해당 문서의 특징은 본문 내부에 흰 글씨로 스크립트가 숨겨져 있다. 이후 WORD문서 프로그.. 2019. 8. 28. Exploit-Kit을 통해 유포되는 BlueCrab 랜섬웨어 (반복 UAC 주의) ASEC 분석팀은 최근 취약점 코드가 제거된 BlueCrab 랜섬웨어(=Sodinokibi)가 EK(Exploit-Kit)를 통해 유포 중인 것을 확인했다. 해당 랜섬웨어는 UAC(User Account Control) 알림 창을 출력하고 사용자가 확인을 누를 때까지 무한 반복하여 실행된다. 랜섬웨어가 파일을 암호화할 때 중요 폴더에 접근하거나, VSC(Volume Shadow Copy) 삭제 등의 행위를 하기 위해서는 관리자 권한이 필요하다. 기존 BlueCrab 랜섬웨어는 이를 위해 CVE-2018-8453 취약점을 사용하여 권한상승 행위를 하였지만 이번 유포에서는 취약점 권한상승 코드가 제거되었다. 해당 랜섬웨어는 Fallout EK를 통해 Drive-By-Download 기법으로 다운로드되어 실행.. 2019. 8. 27. 취약점(CVE-2018-4878)을 악용한 러시아發 악성코드 유포 안랩 ASEC 분석팀은 최근 Adobe Flash Player의 원격코드실행 취약점인 CVE-2018-4878을 악용한 유포가 활발히 발생 되는 것을 확인하였다. 안랩의 ASD(Ahnlab Smart Defence) 시스템을 이용하여 해당 취약점으로 유포중인 악성코드들에 대한 선제적 탐지를 하고 있다. 악성코드 유포는 BlueCrab, CoinMiner, Smokeldr, Infostealer, KeyLogger 등 매우 다양하다. ASD 시스템을 이용하여 공격자 추적도 진행 중이며 그 결과 다수의 러시아 도메인을 확인할 수 있었다. 위 그림은 ASD 시스템에서 지난 1개월간 취약점과 스크립트를 이용하여 유포된 이력이 있는 리포트 현황을 그래프로 시각화한 데이터이다. 데이터에서 볼 수 있듯 주춤했던 유포.. 2019. 8. 21. [긴급] '스캔파일' 메일로 유포되는 워드 문서 주의 - Ammyy 유포 2019년 8월 9일 금요일 새벽 시간부터 국내 기업을 주로 대상으로 Ammyy 백도어를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 동일한 목적의 스팸 메일은 8월 8일부터 국외에서도 유포 되고 있으며, 국내에는 오늘 새벽 시간부터 집중적으로 유포되고 있다. 현재까지 확인 된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 '스캔파일' 이다. 해당 메일은 '스캔_(임의숫자).doc' 파일 이름의 Microsoft Office Word 워드 문서 파일을 첨부하고 있다. 메일 발송자는 '최성은'이며, 악성 워드 문서 내용은 '물품인수증'을 목적으로 한다. 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 워드 문서 실행시 다음과 같은 화면이 보이며 사용자의 매크로 콘텐츠 .. 2019. 8. 9. [주의] 전자항공권 위장 악성코드 유포 (Ammyy, CLOP) 2019년 7월 25일 오전 전자항공권을 위장하여 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다. 항공사의 전자항공권으로 위장하여 스팸 메일이 발송되었고, 첨부 된 .iso 파일은 pdf로 위장한 악성 실행파일(*.scr)을 포함하고 있다. 확인결과, 해당파일은 기업사용자를 타겟하여 유포 중인 CLOP 랜섬웨어에서 사용되는 Ammyy 해킹툴을 다운로드 하는것으로 확인되었다. 또한, 기존에 사용했던 엑셀 문서파일(*.xl 확장자) 형태도 함께 확인되어 다양한 방식으로 Ammyy 해킹툴을 국내에 유포 중인 것으로 추정된다. 아래의 그림은 ISO 파일 확장자로 유포된 형태를 나타낸다. [1] ISO 형태 ISO 내부에는 아래와 같이 PDF 문서파일로 위장한 SCR 확장자(EXE와 같은 실행.. 2019. 7. 25. [보고서] 한글 파일에 숨어든 ‘고스트’ 한글 파일에 숨어든 '고스트' 고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일 동일한 고스트스크립트 취약점을 이용하여 약 2년 여간 지속되고 있는 악성 한글 파일에 대해 상세 분석 보고서입니다. 01. 시작하면서 02. 배경지식 1) 한글 파일의 구조 2) 한글의 EPS 파일 로드 과정 03.악성 한글 파일 1) 한글 파일의 내용과 공격 대상 2) 한글 파일에 포함된 EPS 파일 04. CVE-2017-8291 취약점 1) 포스트스크립트의 이해 2) 취약점 개요 3) 취약점 공격 과정 분석 방법 피연산자 스택 익스플로잇 과정 05. 결론 06. 참고 자료 1) V3 탐지 2) 침해 지표 ※ 본 보고서의 어떤 부분도 안랩의 동의 없이 복제, 복사할 수 없으며, 위반시 저작권법에 저촉.. 2019. 7. 3. 3대 국내 사용자 타깃 악성코드 ♥ Amadey 봇의 은밀한 관계 'GandCrab' 랜섬웨어, 암호화폐 거래소 대상 공격 악성코드, 스팸 메일로 유입된 'Ammyy' 원격제어 백도어와 'Clop' 랜섬웨어까지... 이들의 공통점은 모두 국내 기업 및 사용자를 주 타깃으로 하는 악성코드라는 점이다. 'GandCrab' 랜섬웨어는 '이력서'와 같은 스팸 메일이나 국문으로 된 피싱 다운로드 페이지를 이용하여 주로 유포되었고, V3 제품 무력화 시도 등 국내 사용자와 제품을 공격하였다. 암호화폐 거래소 공격 악성코드는 국내 주요 거래소를 대상으로 이메일 첨부파일을 이용하여 유포되었고, 이메일 계정을 포함한 정보와 코인 탈취 등의 기능을 수행하였다. 'Ammyy' 백도어는 국내 대기업을 포함하여 무차별적 스팸 메일로 대량 유포되었으며, 원격 제어를 통해 시스템을 장악 및 내부.. 2019. 7. 2. 이전 1 ··· 16 17 18 19 20 21 22 ··· 145 다음
