본문 바로가기

Sandbox2

특정 환경에서만 동작하는 새로운 동적 분석 우회 기법 ASEC 분석팀은 활발하게 유포되고 있는 악성코드들을 모니터링하던 중 새로운 형태의 동적 분석 우회 기법을 확인하였다. 최근 다수 유포되고 있는 악성코드들은 진단을 회피하기 위한 목적으로 악성코드 실행 환경을 확인 후 조건에 부합하면 Crash를 발생시켜 동작하지 않도록 한다. 이번에 소개될 기법은 특정 어셈블리 명령어를 사용하는 방법과 사이즈가 큰 메모리를 할당 가능한지에 대한 여부를 확인하는 방법이다. 1. AVX 지원 여부(VXORPS 명령어) ‘VXORPS’ 명령어를 사용하여 AVX를 지원하지 않는 환경에서 동작하는 경우 Crash가 발생하는 악성코드는 주로 Visual Basic으로 만들어진 악성코드다. 최근에 소개된 ‘국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드’ 블.. 2020. 2. 27.
자바 취약점을 악용하는 악성코드들 ASEC에서는 8월 29일 "오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포"를 통해 자바(Java) JRE에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 발견되었으며, 이를 악용한 악성코드가 유포되었다고 공개하였다. 해당 CVE-2012-4681 자바 취약점외에도 다른 CVE-2012-0507 자바 취약점 역시 다수의 악성코드 유포에 사용되고 있다. 일반적으로 자바의 경우 JVM을 이용한 샌드박스(SandBox) 개념의 보안 기능을 운영체제에 제공하고 있다. 악의적인 코드의 경우 JVM에서 시큐리티 매니져(Security Manager)를 기준으로 차단을 하게 된다. 예를 들어 파일을 디스크에 쓰거나 실행하는 경우에 정책(Policy)에 허용 되지 않은 경우에는 해당 .. 2012. 9. 7.