악성코드 정보1153 CVE-2018-0802 취약점을 활용한 악성코드 유포 주의 최근 CVE-2018-0802 취약점이 포함된 RTF 파일이 다수 유포된 정황이 확인 되었다. 대게 9~12KB의 작은 크기의 문서 파일 형태로 유포 되었으며, 주문/결제 확인 등의 문구를 통해 사용자의 실행을 유도 한다. 해당 문서 실행 시 문서 내에 포함된 쉘코드가 실행되어 추가적인 악성 행위가 발생한다. [ 그림 1. 문서 파일 형태 ] 문서 파일 내부에 Ole10Native 객체가 존재하고, 이 객체의 데이터 영역에 쉘코드가 포함되어 있다. [ 그림 2. RTF 내에 포함된 객체 ] 문서 파일 실행 시 내용이 없는 빈 문서처럼 보인다. [ 그림 3. 문서 파일 실행 ] 하지만 취약점으로 인해 사용자가 인지하지 못하게 정상 프로세스인 eqnedt32.exe 가 실행 되고 해당 파일에서 Overflo.. 2018. 3. 21. SMB 취약점 (EternalBlue) 을 악용하여 유포 되는 모네로 코인 마이너 사용자 몰래 가상화폐를 채굴하는 악성코드가 기승을 부리고 있다. 유포 및 감염 방법도 가지각색으로 USB 이동식 디스크를 통해 전파 되거나 이력서를 가장한 메일로 유포 되기도 한다 또한 웹 브라우저를 통해 마이닝 동작을 하는 악성코드도 있었다. 작년 5월 큰 이슈가 되었던 WannaCryptor 랜섬웨어 유포에도 사용된 SMB 원격 코드실행 취약점 (MS17-010 / 일명 EternalBlue ) 을 악용한 가상화폐 채굴 악성코드가 확인 되어 다시 한번 주의가 요구 된다. 사실 해당 취약점이 작년에 알려졌을 때도 이러한 악의적인 채굴 목적의 악성코드를 유포 하는데 주로 사용 되었다. 취약점이 알려지고 1년이 다 되어가는 시점에도 유사 악성코드가 활개를 치는 만큼 다시 한번 취약점 패치 유무를 점검하는 .. 2018. 3. 20. 지원서 및 정상 유틸로 위장하여 유포되는 GandCrab 랜섬웨어 (v2.0) 최근 새로운 버전의 GandCrab 랜섬웨어가 '지원서 및 정상 유틸리티 프로그램'으로 위장하여 유포되고 있음을 자사에서 확인하였다. 자사가 수집한 GandCrab의 수집경로는 아래 [표1]과 같다. 또한, 기존 v1.0과 달리 별도의 암호화 대상 확장자가 없어 대부분의 파일들이 암호화 됨으로 더 큰 피해가 발생할 수 있다. 수집 경로 지원서 위장(license.exe) ..\행정업무\프리랜서_계약비용\지원\이영윤\지원서\지원서\license.exe ..\documents\지원서\지원서\license.exe ..\desktop\이영윤\지원서\지원서\license.exe skype 위장(skype.exe) ..\pictures\이미지 링크정리\이미지 링크정리\skype.exe ..\documents\이미지.. 2018. 3. 19. Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용) 현재 Magniber 랜섬웨어는 한국을 타겟으로 유포되는 랜섬웨어 중 유포 건수가 가장 높다. 광고성 웹사이트의 정상적인 네트워크를 이용하는 멀버타이징 방식이 사용됨은 변함이 없지만, 최종적으로 랜섬웨어가 사용자 시스템에서 구동되는 방식은 주기적으로 변화하고 있다. 그리고 3월 15일, 유포 스크립트의 변화로 인해 TSWbPrxy.exe가 사용되는 새로운 구동방식 발견되었다. 이러한 유포 방식은 2016년 6월 CryptXXX 랜섬웨어 유포에서도 사용된 방법으로 동일한 제작자에 의해 만들어 지는 것으로 추정된다. TSWbPrxy.exe는 특정 응용 프로그램을 실행하는 데 사용되는 MS제공 윈도우즈의 정상 프로그램이다.은 Magniber 랜섬웨어 유포에 사용되는 자바 스크립트 원본이다. Magniber 랜.. 2018. 3. 16. USB 전파기능의 JS 파일 내 자기 방어 기법 'USB 전파기능의 JS 파일에서 확인된 모네로 채굴기' 에 사용 된 악성자바스크립트에서 자기 방어 기법이 확인 되었다. 방어기법은 wscript.exe 프로세스를 강제종료 시, 스크립트 코드에 의해 시스템을 강제로 종료하는 기능이 확인되었다. 악성 스크립트가 어떻게 자기방어를 하는지 알기 위해서는 악성 스크립트 동작 방법을 이해해야 한다. 악성 스크립트가 실행되면 인자(Arguments)에 따라 USB감염, 특정 프로세스들을 강제종료하는 하위 스크립트가 실행된다. 그리고 C2에서 추가 스크립트를 전달 받으면 wscript.exe 가 다시 실행된다. 즉, 악성 자바스크립트는 총 세번의 하위 스크립트 실행이 존재하며 C2에서 전송되는 파일에 따라 추가 악성행위가 달라 질 수 있다. powershell을 통.. 2018. 3. 13. USB 전파기능의 JS 파일에서 확인된 모네로 채굴기능 최근 USB 이동식 디스크를 통해 전파되는 자바스크립트 파일(JS) 악성코드에서 모네로 채굴관련 파일을 다운로드하는 기능이 확인되었다. 전파기능에 의해 웜(Worm) 유형의 악성코드로 분류되는 이러한 유형은 과거에도 많이 알려진 형태이며, 아래의 [그림 1]에서 처럼 난독화된 형태를 갖는다. 감염 시, USB 내부의 폴더들이 모두 숨김속성으로 변경되며, 동일이름의 ‘바로가기’(*.LNK) 링크파일을 생성하고 사용자로 하여금 클릭을 유도한다. 폴더로 착각하여 클릭한 바로가기 링크파일에 의해 자바스크립트 파일이 실행되는 구조이다.[그림 1] 난독화 된 악성 자바스크립트 악성 자바스크립트가 실행되면 [그림 2]와 같이 C:\Users\vmuser\AppData\Roaming\[랜덤명] 폴더에 원본 JS 파일을.. 2018. 3. 9. 인터넷 바로가기(*.URL) 파일을 첨부하여 발송되는 스팸메일 주의 금일 안랩 시큐리티 대응 센터(ASEC)는 불특정 다수의 사용자에게 스팸메일을 통해 인터넷 바로가기 파일(확장자: URL)이 다수 유포된 것을 확인하였다. [그림-1] 스팸 메일 내용해당 메일은 상기 [그림-1]과 같이 ZIP으로 압축된 파일을 첨부하여 유포되었으며, 압축을 해제할 경우 아래의 [그림-2]와 같이 인터넷 바로가기파일이 존재함을 확인 할 수 있다 [그림-2] 첨부 파일 압축 해제 시 [그림-3] 정상적인 인터넷 바로가기 아이콘 및 구조정상적으로 생성된 인터넷 바로가기의 아이콘은 상기 [그림-3]과 같이 사용자의 기본 사용 브라우저 아이콘을 갖고 있으나, 악의적으로 제작된 인터넷 바로가기는 [그림-4]와 같이 shell32.dll 아이콘을 사용하여 폴더 형태 아이콘으로 사용자로 하여금 클릭을.. 2018. 3. 6. 이력서를 가장한 모네로 코인 마이너 유포 주의 이력서를 가장한 모네로 코인 채굴 악성코드(이하 마이너)가 지난 11월부터 이메일을 통해 불특정 다수에게 꾸준히 유포되고 있다. 이에 따라 아래 본문에서 언급할 내용의 메일을 수신한 사용자는 코인 마이너가 담긴 첨부파일을 실행하지 않도록 각별한 주의가 필요하다. 모네로 코인 마이너는 [그림 1]과 같은 메일 내용에 첨부 파일 형태로 유포된 것으로 추정된다. [그림 1] 메일 본문 중 일부 마이너 악성코드가 첨부된 압축 파일은 .egg 확장자를 사용하며, 압축된 파일 목록은 [그림 2]와 같다. [그림 2] 압축 파일 목록 압축된 파일의 종류에는 바로 가기(*.lnk) 파일과 마이너(facebook.exe) 파일 두 종류가 있는데, 이 중 바로 가기 파일의 경우 이전 ASEC 블로그(http://asec... 2018. 3. 6. 이전 1 ··· 29 30 31 32 33 34 35 ··· 145 다음
