본문 바로가기

매크로5

암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드 ASEC 분석팀은 메일에 암호 걸린 압축 파일로 첨부되어 이모텟(Emotet) 악성코드가 유포 중인 것을 확인하였다. 메일 본문에 압축 파일을 풀기 위한 암호가 적혀있어서, 메일을 수신한 사람만 파일을 실행할 수 있다. 또한 압축 파일 내의 파일을 안티바이러스 제품에서 탐지하고 있더라도, 압축 파일 자체에 암호가 걸려있기 때문에 암호 해제 전까지는 자동으로 탐지가 어렵다. 메일은 10월 17일 발송되었고, 다음과 같이 기업 관계자를 위장하고 있다. 첨부된 파일은 압축 파일로서, 압축 해제 시 'MYTNXTOJ3 202010月17.doc' 이름의 워드 파일이 존재한다. 'MYTNXTOJ3 202010月17.doc' 워드 문서 파일의 내용은 위와 같다. 매크로 [콘텐츠 사용] 허용 시 악성 매크로 코드가 동.. 2020. 10. 20.
주의! 21대 국회의원 선거관련 악성 워드문서 유포 중 ASEC분석팀은 21대 국회의원 선거관련 문서를 다운로드 받는 악성 워드문서를 발견하였다. 해당 문서파일은 실행 시 특정 URL에서 악성 파일을 다운로드 받는다. 확인된 외부 다운로드 주소는 아래와 같다. http[:]//saemaeul.mireene.com/skin/board/basic/bin 해당 파일을 성공적으로 다운로드 받은 경우, 아래와 같은 국회의원 선거관련 내용이 사용자에게 보여진다. 문서파일을 열 경우 아래와 같이 다운로드 시도 화면이 사용자에게 보여진다. 이러한 외부 다운로드 기능은 아래의 그림에서 알 수 있듯이 워드문서 내부 개체 중 "settings.xml.rels" 파일의 Target 항목에 의해 발생한다. 다운로드에 성공 할 경우, 추가로 아래의 주소로 사용자 정보가 유출되는 기능.. 2020. 4. 9.
엑셀 매크로 코드에서 확인된 Anti-VM 기능 (very hidden) ASEC분석팀은 3월 25일 악성 매크로 코드를 '좀 더' 숨긴 엑셀파일에서 Anti-VM 기능까지 추가 된 것을 확인하였다. 해당 엑셀파일을 실행 시, 사용자는 아래의 그림과 같이 왼쪽 하단에 'Sheet1' 이름의 시트만 확인이 가능하다. 실제 악성코드가 사용하는 매크로 코드는 'Sheet1'이 아닌 숨겨진 시트에서 확인이 가능하다. 매크로 시트를 구성하는 바이너리를 보면 '01' (Excel 4.0 macro sheet)가 '02' (very hidden)로 값이 되어 있음을 확인할 수 있고, 02를 00 으로 수정 시 숨겨져 있는 악성 Sheet를 확인 할 수 있다. very hidden에 대한 자세한 내용은 아래 글을 참고하면 된다. 2020/03/11 - [악성코드 정보] - 악성 매크로 코드.. 2020. 3. 27.
문서에 포함된 매크로 악성코드 순간의 호기심이 매크로를 On! 인간의 호기심은 끝이 없고 같은 실수를 반복하게 된다. 불분명한 발신으로부터, 혹은 익숙하지만 살짝 의심스러운 발신자에게서 온 메일의 열람은 금기시 되어야 한다는 것은 공공연한 사실이다. 더불어 의심스러운 메일에 첨부된 파일의 다운 및 실행은 절대 해선 안 되는, 21세기를 살아가는 자들의 필수적인 IT 보안 상식이다. 하지만 첨부된 파일이 호기심을 자극하는, 매우 매력적인 제목의 문서파일이라면 어떨까? 수 없이 전해 듣고 교육받고 심지어 일전에 악성코드에 큰 피해를 본 사람이라도, 매뉴얼처럼 숙지한 철옹성과 같던 보안 상식은 모래성 마냥 한순간에 무너져 내릴 것이며, 인간의 무한한 호기심과 궁금증을 풀고자 하는 끝없는 욕망에 이끌려 자의적으로 마우스 포인터는 첨부 파일을.. 2015. 1. 26.
ASEC 보안 위협 동향 리포트 2013 Vol.47 발간 안랩 ASEC에서 2013년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.47을 발간하였다. 이 번에 발간된 ASEC 리포트는 2013년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈PC 내 파일을 암호화하는 랜섬웨어 CryptoLocker악성 매크로를 포함한 엑셀 파일USB에 생성되는 ‘바로가기’ 파일MS 오피스 제로데이 취약점(CVE-2013-3906) 주의새터민 자기소개서로 위장한 악성 한글 파일 출현신용카드 명세서로 위장한 악성코드 변종 유포가짜 음성 메시지가 첨부된 악성 스팸 메일 등장동영상 파일로 위장한 악성코드이력서 문서 파일로 위장한 실행 파일 2) 모바일 악성코드 이슈정상 앱을 가장한 광고 앱 주의신.. 2014. 1. 10.