악성코드 정보1153 Pastebin 서비스를 이용한 원격 제어 악성코드 온라인상에 텍스트나 소스코드 데이터를 저장해서 공유할 수 있는 Pastebin (페이스트빈) 서비스를 이용한 악성코드가 발견되었다. Pastebin 서비스에 Raw 데이터 텍스트 스트링을 올려두면 부여되는 고유한 URL을 통해 접속할 수 있는 점을 이용하였다. 악성코드는 성인물로 위장하여 ‘2.zip’ 압축 파일명으로 유포되었다. 실행된 악성코드는 단독으로 동작하거나 실행되지 않고 여러 개의 Visual Basic 스크립트 파일과 EXE 실행 파일을 만들거나 메모리에 로드하여 최종 파일을 생성한다. 이 과정에서 악성코드는 Pastebin 도메인의 각기 다른 4개 URL에 접속하여 해당 주소의 텍스트 데이터를 받아 악성코드를 로딩하는 데 이용한다. 최종 실행되는 파일은 ‘njRAT’ 이름을 가진 원격 제어.. 2018. 4. 23. Fileless 형태로 유포되는 GandCrab v2.1 이전 블로그에도 게시했던 것처럼 Magniber 유포지 확인 중 새로운 버전의 GandCrab v2.1이 유포 됨을 확인 한바 있다. 이와 관련하여 자사에서는 금주부터 GandCrab v2.1이 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임을 추가 확인하였다. 동작 구동방식은 아래와 같다.[그림 1] GandCrab v2.1 유포 및 동작 방식 유포 사이트 접근 시 공격자가 의도한 윈도우 정상 프로세스(‘mshta.exe’, ‘rundll32.exe’, 'WMIC.exe')를 통해 특정 URL로 접속한다. 해당 정상 프로세스를 통해 접속하는 페이지에는 악성 자바스크립트가 작성 되어있다. 각 프로세스 별 스크립트 실행방식은 아래의 [표3]의 명령을 보면 이해가 쉽다.mshta.e.. 2018. 4. 17. Magniber 랜섬웨어에서 GandCrab 랜섬웨어로 변경 메그니베르(Magniber) 랜섬웨어 유포지 모니터링 작업 중, 4월 11일(수)부터 기존의 메그니베르가 아닌 GandCrab 랜섬웨어가 유포되는 것이 확인되었다. GandCrab 랜섬웨어는 공개키 방식으로 암호화하는 것으로 알려져 있어 복구가 불가능 함으로 사용자 주의가 요구된다. 유포에 사용되는 취약점 및 생성경로, 파일의 외형은 모두 메그니베르와 동일한 것을 볼 때, 제작자가 복구툴 배포작업으로 인해 랜섬웨어를 교체한 것으로 추정된다. 유포에 사용되는 취약점은 동일함으로 취약점 패치를 통해 감염을 차단하는 것이 필요하다. 아래의 그림은 4월 11일 수집된 GandCrab 랜섬웨어에 의해 보여지는 랜섬노트와 감염 후 확장자를 나타낸다. 기존 3월 19일자 ASEC블로그에 언급된 샘플에서는 버전이 2... 2018. 4. 11. Magniber 랜섬웨어 암호화방식 변화 작년 10월부터 국내 사용자만을 대상으로 유포되는 메그니베르(Magniber) 랜섬웨어에 대한 복구툴을 ASEC 블로그를 통해 4월 2일에 공개했다. 확장자 별 복구에 필요한 키, 벡터정보 제공을 통해 해당 확장자로 암호화된 사용자에게 복구할 수 있는 기능을 제공하였다. 하지만, 지난 주말(4월 8일)에 확인된 메그니베르에서는 복구에 필요한 벡터정보를 랜덤하게 생성하는 구조로 암호화 방식이 변경되었다. 즉, 동일한 암호화 확장자에 서로 다른 벡터 값이 생성되는 구조를 갖는다. (GetTickCount 함수를 통한 랜덤생성) [기존] README.txt: URL 주소에서 붉은색 표시부분이 벡터정보에 해당한다. ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORT.. 2018. 4. 9. 확장자 별 복원 가능한 Magniber 랜섬웨어 국내 사용자를 타겟으로한 Magniber 랜섬웨어는 파일 내부에 고정된 대칭키 방식(AES-128, CBC모드)으로 파일을 암호화하며, 암호화에 사용된 키를 추가로 공개키로 암호화하는 과정이 없음으로 해당 대칭키 정보만 알면 복원이 가능한 구조를 갖는다. 하지만, 랜섬웨어는 암호화 과정 후에 자신을 삭제하는 기능이 존재하여, 사실상 복원이 불가능한 상황이다. 이러한 파일내부에 저장된 키 정보를 알면 복원이 가능하다는 취약성을 바탕으로 5개월 전 아래의 GitHub 사이트를 통해 Magniber 랜섬웨어의 복호화 코드가 공개되었다. https://gist.github.com/evilsocket/b89df665e6d52446e3e353fc1cc44711 당시 Magniber 랜섬웨어에 암호화된 파일의 시작 .. 2018. 3. 29. Magniber 랜섬웨어 유포 방식의 변화 (exe->dll) 멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포 방식이 변화하였다. 기존에 유포되던 실행파일(.exe) 형식에서 라이브러리 파일(.dll)로 변화하여 유포되는 정황이 포착되었다. 은 Magniber 랜섬웨어 유포에 사용되는 스크립트 원본이다. 해당 스크립트는 Magniber 랜섬웨어를 사용자 시스템에 생성하고 실행하는 역할을 수행한다. 는 원본의 난독화가 해제된 스크립트이다. 유포 스크립트는 과 같이 %HOMEPATH% 경로에 DLL 형태의 랜섬웨어 파일을 생성한다. 그리고 의 빨간 박스의 실행문에 의해서 WMI 쿼리를 통해 DLL 파일을 실행한다. 해당 쿼리문은 과 같이 rundll32.exe를 이용해 랜섬웨어 DLL파일을 구동시키는 명령문이다. rundll32.. 2018. 3. 27. Hermes 랜섬웨어를 유포하는 GreenFlash Sundown 웹공격툴킷 국내 사이트 발견 최근 국내에서도 Hermes 랜섬웨어의 새로운 유포방식으로 알려진 "GreenFlash Sundown" 웹 공격툴킷(Web Exploit Kit)이 발견되었다. 침해된 사이트에 게시된 기사 페이지 내부에는 아래와 같이 난독화된 악의적인 스크립트가 포함되어 있고 이를 통해 "GreenFlash Sundown" 툴킷으로 연결된다. (그림) 삽입된 악의적인 스크립트 (그림) 난독화 해제된 스크립트 코드 "GreenFlash Sundown"은 Adobe Player를 위한 SWF 파일 형식으로 구성된 웹 공격툴킷(Web Exploit Kit)으로, 파일의 내부에서 난독화, 다운로드 및 파일 로딩 단계를 여러번 거치는 복잡한 내부구조를 갖는 것이 특징이다. 다단계 다운로드 구조 탐지 우회 및 난독화 기법 사용 다.. 2018. 3. 23. 스팸 메일로 유포되는 Hancitor 악성코드 재활동 스팸 메일에 첨부되어 유포되는 Microsoft Office 문서 파일 악성코드 중 Hancitor (Chanitor) 유형이 2016년 이후 다시 활발히 유포되고 있는 정황이 확인되었다. Hancitor 악성코드는 VBA 매크로를 이용하여 ‘사용자 정의 폼’ 내부의 암호화 된 쉘코드를 이용하여 생성한 PE를 정상 프로세스에 인젝션하여 악성 기능을 수행한다. 관련하여 2016년 다음과 같은 제목으로 본 블로그에 분석 정보를 제공하였다. ‘MS 워드 문서에서 폼 개체를 활용한 악성코드’ - http://asec.ahnlab.com/1052 최근 유포되고 있는 Hancitor 악성코드는 2016년과 비교했을 때 폼 개체 이용 및 프로세스 인젝션을 비롯한 전체적인 동작 방식에는 큰 변화가 없다. 부분적으로 쉘.. 2018. 3. 22. 이전 1 ··· 28 29 30 31 32 33 34 ··· 145 다음
