본문 바로가기

악성코드 정보1083

드론(무인항공기) 현황 내용의 한글(*.HWP) 악성코드 유포 중 ASEC 분석팀에서는 드론(무인항공기) 관련 내용의 악성 한글 문서(.HWP)가 유포되고 있음을 확인하였다. 아래 [그림1]과 같이 드론 현황 및 개선방안의 내용으로 구성되어 있으며 내부에는 악성 EPS를 포함하고 있다. 문서 실행 시 내부의 악성 포스트스크립트(EPS)가 동작하여 악성 행위를 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 사용하여 내부의 쉘 코드를 복호화 후 실행한다. 감염 PC에서 현재 실행중인 모든 프로세스 정보를 조회하며 자사 V3 제품이 실행 중인지 검사하는 루틴이다. 비교 대상 값인 3376과 3356은 문자열로 "v3" 및 "V3"를 의미한다. 해당 쉘 코드가 동작하면 작업스케줄러에 다음과 같은 명령어로 예약 작업을 등록하여 3분 마다 실행되도록 한다. sc.. 2020. 6. 2.
ASEC 주간 악성코드 통계 ( 20200525 ~ 20200531 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 5월 25일 월요일부터 2020년 5월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 37.4%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 36.1%, RAT (Remote Administration Tool) 악성코드가 14.6%를 차지하였다. 뱅킹과 랜섬웨어 악성코드는 8.2%, 2.3%로 그 뒤를 따랐다. Top 1 - GuLoader 34.7%를 차지하는 GuLoader 는 추가 악성코드를 다운로드하여 실행시키는 다운로더 악성코드이다. 진단을 우회하기 위해 Visual Basic 언어로 패킹되.. 2020. 6. 1.
악성 한글문서(.hwp) 주제별 연관성 분석 ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 확인되어 그에 대해 자세히 설명한다. 이전 블로그 : https://ahnlabasec.tistory.com/1324 악성 한글문서(.hwp) 유포 파일명 변화과정 추적 그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있�� asec.ahnlab.com 주제1, 주제2, 주제3 연관성 이전 블로그에서 언급했던 주제1(코로나 관련), 주제2(부동산 관련), 주제3(조력/풍력/수력 관련).. 2020. 5. 29.
악성 한글문서(.hwp) 유포 파일명 변화과정 추적 그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 '한글 문서를 통해 의심스러운 행위가 발생'했을 시 수집되는 자사 모니터링 시스템을 통해 확인 가능하였다. 주제 1 : 코로나 관련 (Lazarus 그룹 추정) 전라남도 코로나바이러스 대응 긴급조회.hwp 인천광역시 코로나바이러스 대응 긴급 조회.hwp 인천광역시 코로나바이러스 대응 긴급 조회-**대 김**.hwp [붙임] 코로나19_관련_사증면제 정지 등 조치_알림.hwp 지금도 여전히 코로나와 관련한 이슈.. 2020. 5. 27.
부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용) 지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다. 메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다. 해당 코드는 %appdata%\Microsoft\Internet Exp.. 2020. 5. 25.
코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자) ASEC 분석팀은 5월22일 BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다. 해당 랜섬웨어는 암호화전 프로세스 및 서비스 목록을 검사하여 존재할 경우 종료 혹은 멈추는 행위를 수행한다. 프로세스 종료 및 서비스 종료 목록 프로세스 종료 대상 wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.e.. 2020. 5. 22.
Nemty Special Edition 버전 유포중 (복원가능) ASEC 분석팀은 5월18일 Nemty 랜섬웨어가 Special Edition 버전으로 유포되고 있는 것을 확인하였다. 유포 방식은 기존과 동일하게 pdf 파일로 위장하였으며, ‘이력서’ 문구 외 '이미지 무단 사용' 문구가 추가되어 유포되었다. 또한 랜섬웨어 기능에도 작은 변화가 생겼다. 랜섬웨어 기능 중 볼륨 쉐도우 삭제 명령어가 사라졌으며 랜섬노트 및 바탕화면이 변경되었다. [유포 파일명] \성지영\이력서\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe \이재희\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe \김용우\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe \한영철\이력서\지원서_200518(뽑.. 2020. 5. 20.
코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중 지난 5월 8일 해당 블로그에 게시 한 것과 같이 메일을 통해 국내 게임업체 인증서를 도용한 악성코드가 유포 중임을 공유하였다. 자사 ASEC에서는 해당 류의 악성코드가 조금 변형 된 형태로 여전히 다양한 제목으로 유포 중임을 확인하여 이에 대해 추가 내용을 알리고자 한다. 지난 블로그 : https://asec.ahnlab.com/1318 국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포 ASEC 분석팀에서는 지난달 아래 링크와 같이 상여금 발급 청구서로 위장한 악성 문서에 대해 블로그 글을 게시했었다. 이번에 동일류의 악성코드가 추가로 확인되어 아래와 같이 정보를 공개한�� asec.ahnlab.com 위 지난 블로그에서 처럼 해당 악성코드는 문서 내용을 그대로 코인업체 입력모집 양식의 표를.. 2020. 5. 14.