본문 바로가기

전체 글보기

류크(Ryuk)와 닮은 악성코드에 포함된 AhnLab 문자열의 의미!! (특정 국가 타겟??) 안랩 ASEC 분석팀은 최근 “AhnLab” 문자열을 포함하는 정보 유출 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드에는 기존 Ryuk 랜섬웨어와 동일한 문자열이 사용되고, 내부 코드 흐름이 유사하여 Ryuk 랜섬웨어와 관련이 있는 것으로 파악된다. 또한 해당 샘플 분석 결과, 특정 국가를 타겟으로 제작된 악성코드로 추정되는 여러 근거가 발견되었다. 지난해 8월에 발견된 Ryuk 랜섬웨어는 파일의 확장자를 “.RYK”로 변경하고 “RyukReadMe.txt” 이름의 랜섬노트를 생성하며 AhnLab폴더를 암호화 대상에서 제외한다. 본 정보 유출 악성코드 또한 파일명 및 폴더명에 AhnLab 문자열이 존재하면 유출 대상에서 제외한다. 악성코드 실행 시 인자로 주어진 문자열 경로의 파일을 삭제한다. ..
파일리스 형태로 동작하는 WannaMine(SMB 취약점) 최근 들어 코인 마이너의 전파 방식이 점점 다양해지고 있다. 안랩 ASEC 분석팀은 올해 초에 SMB 취약점(MS17-010 이터널블루)을 이용해 전파하는 코인 마이너에 대해 소개한 바 있다. ‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2) 안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.. asec.ahnlab.com 근래에는 “WannaMine”이라는 파일리스(Fileless) 코인 마이너 악성코드가 전파를 위해 SMB 취약점뿐만 아니라 WMI(Windows Manage..
BlueCrab 랜섬웨어를 유포하는 자바스크립트(*.js) 코드 변화 안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 악성 자바스크립트는 [그림 1]과 같이 유틸리티 다운로드 페이지로부터 위장된 파일명으로 유포 된다. [ ex) jwplayer 동영상.js ] 최초 유포된 자바스크립트는 [그림 2]와 같이 난독화 되어 있으며, [그림 3]은 난독화 해제된 스크립트이다. 난독화 해제된 스크립트는 랜섬웨어를 실행하는 자바스크립트를 다운로드하여 실행한다. [그림 4]는 난독화 해제된 스크립트로부터 다운로드된 랜섬웨어를 실행하는 자바스크립트이다. 해당 스크립트는 내부 데이터를 디코딩한 파워셀 스크립트를 드롭하여 실행하는 기능을 수행한다. 아래 이전에 분석된 내용과 비교했을 ..
Ammyy 해킹툴에서 확인된 Shim Database(SDB) 인젝션 공격 ASEC은 FlawedAmmyy 백도어에서 Clop 랜섬웨어까지의 흐름을 확인 중 흔치 않은 방식의 공격 기법이 확인되어 알리고자 한다. Ammyy 백도어는 이전 블로그(https://asec.ahnlab.com/1237) 에서 언급한 바와 같이 사회공학적인 방법으로 시작하여 다운로더를 거쳐 최종적으로 백도어 악성코드가 설치되는 방식으로 동작한다. 이후 일종의 잠복기를 거쳐 CLOP 랜섬웨어가 설치되어 사용자의 시스템을 암호화하는데, Ammyy 백도어가 생성한 악성코드들 중 윈도우 어플리케이션 Shim Database 즉 sdb 파일을 악용하여 시스템에 또 다른 백도어를 사용자가 인식하기 힘든 방식으로 설치하는 종류의 악성코드들이 확인되었다. loader32.exe 등의 이름으로 생성되는 Injector..
워드 문서파일과 자바스크립트 형태로 유포되는 TrickBot 최근 국내 기업으로부터 난독화 되어 있는 스크립트 샘플이 접수되었다. 이는 2019년 초부터 해외에서 대량으로 유포되고 있는 Trickbot 다운로더로, 매크로를 사용하는 문서 파일 내부에 Javascript 파일이 내장되어 있어 이를 실행하면 Javascript가 악성 실행 파일을 다운받는 형태이다. 1. 문서 형태로 유포 WORD문서를 실행하면 아래 그림과 같이 ‘이전 버전에 만들어진 문서’라는 가짜 문구와 함께 ‘콘텐츠 사용’을 클릭하라는 문장이 적혀있다. 이는 VBA 매크로를 실행시켜 악성 스크립트를 동작하려는 속임수로 PC사용자는 가급적 알 수 없는 문서의 ‘콘텐츠 사용’ 버튼 누르는 것을 피해야 한다. 해당 문서의 특징은 본문 내부에 흰 글씨로 스크립트가 숨겨져 있다. 이후 WORD문서 프로그..
Exploit-Kit을 통해 유포되는 BlueCrab 랜섬웨어 (반복 UAC 주의) ASEC 분석팀은 최근 취약점 코드가 제거된 BlueCrab 랜섬웨어(=Sodinokibi)가 EK(Exploit-Kit)를 통해 유포 중인 것을 확인했다. 해당 랜섬웨어는 UAC(User Account Control) 알림 창을 출력하고 사용자가 확인을 누를 때까지 무한 반복하여 실행된다. 랜섬웨어가 파일을 암호화할 때 중요 폴더에 접근하거나, VSC(Volume Shadow Copy) 삭제 등의 행위를 하기 위해서는 관리자 권한이 필요하다. 기존 BlueCrab 랜섬웨어는 이를 위해 CVE-2018-8453 취약점을 사용하여 권한상승 행위를 하였지만 이번 유포에서는 취약점 권한상승 코드가 제거되었다. 해당 랜섬웨어는 Fallout EK를 통해 Drive-By-Download 기법으로 다운로드되어 실행..
취약점(CVE-2018-4878)을 악용한 러시아發 악성코드 유포 안랩 ASEC 분석팀은 최근 Adobe Flash Player의 원격코드실행 취약점인 CVE-2018-4878을 악용한 유포가 활발히 발생 되는 것을 확인하였다. 안랩의 ASD(Ahnlab Smart Defence) 시스템을 이용하여 해당 취약점으로 유포중인 악성코드들에 대한 선제적 탐지를 하고 있다. 악성코드 유포는 BlueCrab, CoinMiner, Smokeldr, Infostealer, KeyLogger 등 매우 다양하다. ASD 시스템을 이용하여 공격자 추적도 진행 중이며 그 결과 다수의 러시아 도메인을 확인할 수 있었다. 위 그림은 ASD 시스템에서 지난 1개월간 취약점과 스크립트를 이용하여 유포된 이력이 있는 리포트 현황을 그래프로 시각화한 데이터이다. 데이터에서 볼 수 있듯 주춤했던 유포..
[긴급] '스캔파일' 메일로 유포되는 워드 문서 주의 - Ammyy 유포 2019년 8월 9일 금요일 새벽 시간부터 국내 기업을 주로 대상으로 Ammyy 백도어를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 동일한 목적의 스팸 메일은 8월 8일부터 국외에서도 유포 되고 있으며, 국내에는 오늘 새벽 시간부터 집중적으로 유포되고 있다. 현재까지 확인 된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 '스캔파일' 이다. 해당 메일은 '스캔_(임의숫자).doc' 파일 이름의 Microsoft Office Word 워드 문서 파일을 첨부하고 있다. 메일 발송자는 '최성은'이며, 악성 워드 문서 내용은 '물품인수증'을 목적으로 한다. 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 워드 문서 실행시 다음과 같은 화면이 보이며 사용자의 매크로 콘텐츠 ..
[주의] 전자항공권 위장 악성코드 유포 (Ammyy, CLOP) 2019년 7월 25일 오전 전자항공권을 위장하여 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다. 항공사의 전자항공권으로 위장하여 스팸 메일이 발송되었고, 첨부 된 .iso 파일은 pdf로 위장한 악성 실행파일(*.scr)을 포함하고 있다. 확인결과, 해당파일은 기업사용자를 타겟하여 유포 중인 CLOP 랜섬웨어에서 사용되는 Ammyy 해킹툴을 다운로드 하는것으로 확인되었다. 또한, 기존에 사용했던 엑셀 문서파일(*.xl 확장자) 형태도 함께 확인되어 다양한 방식으로 Ammyy 해킹툴을 국내에 유포 중인 것으로 추정된다. 아래의 그림은 ISO 파일 확장자로 유포된 형태를 나타낸다. [1] ISO 형태 ISO 내부에는 아래와 같이 PDF 문서파일로 위장한 SCR 확장자(EXE와 같은 실행..
2019년 상반기 랜섬웨어 동향 2019년 2분기 샘플 건수는 47만4천건으로, 2019년 1분기 33만6천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 4만1천 건으로 1분기 14만7백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다. 감소 원인은 대표적으로 GandCrab 과 Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 은 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대 폭으로 감소 하였다. 이러한 가장 큰 원인 중 하나로 지난 6월 초 Ransomware-as-a-Service (RaaS) 제공하는 제작자..