본문 바로가기
특정 환경에서만 동작하는 새로운 동적 분석 우회 기법 ASEC 분석팀은 활발하게 유포되고 있는 악성코드들을 모니터링하던 중 새로운 형태의 동적 분석 우회 기법을 확인하였다. 최근 다수 유포되고 있는 악성코드들은 진단을 회피하기 위한 목적으로 악성코드 실행 환경을 확인 후 조건에 부합하면 Crash를 발생시켜 동작하지 않도록 한다. 이번에 소개될 기법은 특정 어셈블리 명령어를 사용하는 방법과 사이즈가 큰 메모리를 할당 가능한지에 대한 여부를 확인하는 방법이다. 1. AVX 지원 여부(VXORPS 명령어) ‘VXORPS’ 명령어를 사용하여 AVX를 지원하지 않는 환경에서 동작하는 경우 Crash가 발생하는 악성코드는 주로 Visual Basic으로 만들어진 악성코드다. 최근에 소개된 ‘국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드’ 블.. 2020. 2. 27.
[주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 최근 들어 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 악성코드가 유포되고 있다. 해당 파일명은 imageXXX_M-003 장비일람표.dwg.exe 형식을 가지며 현재까지 유포 경로는 정확하게 밝혀지지 않았지만 주로 스팸 메일을 통해 유포되고 있는 것으로 추정된다. 위와 같이 유포된 파일은 VB(VisualBasic) 아이콘을 사용하며 윈도우 폴더 기본 옵션인 확장명 숨기기 기능을 해제 할 경우 다음과 같은 dwg 파일명 뒤에 .exe 확장자가 추가적으로 붙은 것을 알 수 있다. 실제 해당 악성 파일은 Visual Basic 언어로 만들어진 exe 실행 파일이다. 주로 스팸 메일 등으로 유포되는 국내외 Visual Basic 악성코드는 일반적으로 상용 빌더(Builder) 또는 커스텀 패커를 이.. 2020. 2. 27.
주의! 실시간 코로나19 현황 프로그램을 위장한 악성코드 유포 ASEC 분석팀은 국내와 일본 사용자를 대상으로 코로나 바이러스와 관련된 악성코드가 유포되고 있는 것을 확인하였다. 해당 악성코드는 코로나19 현황을 나타내는 팝업창을 생성하고 Temp 경로에 악성 파일을 드롭 후 실행한다. 이때 사용자 몰래 악성 파일이 생성되기 때문에 팝업창만 확인시 마치 정상 코로나 현황 프로그램으로 착각할 수 있어 사용자의 주의가 필요하다. 유포중인 파일은 아래와 같은 데이터를 디코딩 후, 특정 프로세스에 디코딩된 데이터를 인젝션(injection) 한다. 인젝션(injection) 된 데이터는 Temp 경로에 “국내 코로나 실시간 현황.exe”(정상) 와 “jjutest1.exe”(악성) 명으로 파일을 드롭 후 실행한다. “국내 코로나 실시간 현황.exe” 파일은 아래와 같이 코.. 2020. 2. 26.
[주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 전 세계적으로 이슈인 코로나 바이러스를 이용한 악성코드들이 다수 발견되고 있다. 테스트 파일, JOKE 파일, 실제 악성 파일까지 다양하게 존재하며 현재 코로나 바이러스의 관심도가 높은 상황에서 이러한 악성코드의 제작 및 유포는 더 큰 사회 불안을 발생시킬 수 있어 사용자의 큰 주의가 요구되는 시점이다. [1] 여행자를 위한정보 문서파일 (테스트 파일 추정) 파일명 : Informations Coronavirus.docm MD5 : ecca36caf86d9fcea32b624f06b6a3c8 V3 진단명 : VBA/Obfuscated (2020.02.11.00) 해당 파일은 코로나 바이러스 여행자를 위한 주의 내용을 담고 있는 문서 파일이다. 문서 상단에 "콘텐츠 사용"을 클릭 시, 문서 내부의 매크로(M.. 2020. 2. 25.
Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367) 매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다. 아래 [그림 1]은 현재 매그니베르 유포 사이트 접속 시 전달받는 HTML 스크립트로 인코딩된 형태이다. [그림 2]는 [그림 1]의 스크립트의 디코딩된 형태로 취약점 스크립트 부분이다. 이전.. 2020. 2. 18.
NSIS 설치파일 형태의 악성코드에서 사용중인 탐지 우회기법 악성코드 제작자는 백신사로부터 진단되지 않기 위해 다양한 시도를 해왔다. 과거에는 분석하기 어렵게 안티 디버깅 기법을 사용하거나 혹은 안티 VM 기법의 비중이 높았다면 지금은 SandBox를 우회하기 위해 시간 지연 방법 등을 사용한다. 이 글에서 소개될 NSIS(Nullsoft Scriptable Install System)는 윈도우용 인스톨 도구로 스크립트 기반으로 동작하기 때문에 외형이 특성상 정상 NSIS 인스톨러와 동일할 수 밖에 없으며, 특이한 점은 스크립트 내부에 시간 지연 코드가 있다는 점과 복호화된 쉘코드 내부에 SandBox를 우회하기 위한 유저 모드 후킹 우회 기법 등이 사용된다는 점이다. 이후 악성행위는 정상 프로세스에 인젝션하여 동작한다. 1. NSIS NSIS는 7zip(v15... 2020. 2. 11.
국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드 최근 들어 국내 기업을 사칭한 이메일로 유포되는 악성코드가 증가하고 있다. 메일 내용은 수신인을 고려하여 절묘하게 작성되어 있어서, 공격 대상의 악성코드 실행 가능성을 높였다. 이메일은 lzh, r22 등의 압축 파일 포맷으로 된 첨부 파일로 포함하고 있다. 기존에 zip, egg 등의 좀 더 일반적인 파일 포맷을 이용한 것과는 비교되는 특징이다. 압축 파일 내부에는 악성 exe 실행 파일이 있고, 공격 대상이 이를 실행할 경우 악성 기능이 실행된다. 아래는 2월 10일 유포되었던 이메일이다. exe 실행 파일은 Visual Basic으로 만들어져 있다. 스팸 메일 등으로 유포되는 국내외 Visual Basic 악성코드는 일반적으로 빌더(Builder)를 이용하여 만들어지기 때문에 파일의 코드 외형 특징.. 2020. 2. 11.
IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태) CVE-2019-1367 취약점은 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약점이다. MS에서는 해당 취약점에 대해 아래와 같은 위험성을 경고 하고 있다. 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경.. 2020. 2. 4.