본문 바로가기

악성코드 정보

[주의] 문서 형태로 유포되는 이모텟(Emotet) 악성코드 안랩 ASEC 분석팀은 국내 사용자를 대상으로 악성 VBA 매크로를 포함하고 있는 Word 파일이 유포되고 있음을 확인하였다. 해당 악성 VBA 매크로는 WMI를 통해 powershell을 실행하여 Emotet 악성코드를 다운로드하게 된다. Word 파일을 실행하게 되면 [그림 1]과 같이 VBA 매크로를 실행하도록 유도하는 문구의 그림이 존재한다. 유도 문구는 [그림 2]와 같이 다양한 형태로 유포되고 있다. 현재 유포되고 있는 VBA 매크로는 [그림 3]과 같이 쓰레기 코드 및 주석을 이용하여 난독화되어 있으며, [그림 4]는 난독화가 해제된 VBA 매크로이다. 코드를 분석한 결과, 지난해 11월 Emotet 악성코드를 유포하던 VBA 매크로는 cmd를 통해 powershell을 실행한 반면 현재 유..
Operation Moneyholic With HWP Document 안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수..
류크(Ryuk)와 닮은 악성코드에 포함된 AhnLab 문자열의 의미!! (특정 국가 타겟??) 안랩 ASEC 분석팀은 최근 “AhnLab” 문자열을 포함하는 정보 유출 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드에는 기존 Ryuk 랜섬웨어와 동일한 문자열이 사용되고, 내부 코드 흐름이 유사하여 Ryuk 랜섬웨어와 관련이 있는 것으로 파악된다. 또한 해당 샘플 분석 결과, 특정 국가를 타겟으로 제작된 악성코드로 추정되는 여러 근거가 발견되었다. 지난해 8월에 발견된 Ryuk 랜섬웨어는 파일의 확장자를 “.RYK”로 변경하고 “RyukReadMe.txt” 이름의 랜섬노트를 생성하며 AhnLab폴더를 암호화 대상에서 제외한다. 본 정보 유출 악성코드 또한 파일명 및 폴더명에 AhnLab 문자열이 존재하면 유출 대상에서 제외한다. 악성코드 실행 시 인자로 주어진 문자열 경로의 파일을 삭제한다. ..
파일리스 형태로 동작하는 WannaMine(SMB 취약점) 최근 들어 코인 마이너의 전파 방식이 점점 다양해지고 있다. 안랩 ASEC 분석팀은 올해 초에 SMB 취약점(MS17-010 이터널블루)을 이용해 전파하는 코인 마이너에 대해 소개한 바 있다. ‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2) 안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.. asec.ahnlab.com 근래에는 “WannaMine”이라는 파일리스(Fileless) 코인 마이너 악성코드가 전파를 위해 SMB 취약점뿐만 아니라 WMI(Windows Manage..
BlueCrab 랜섬웨어를 유포하는 자바스크립트(*.js) 코드 변화 안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 악성 자바스크립트는 [그림 1]과 같이 유틸리티 다운로드 페이지로부터 위장된 파일명으로 유포 된다. [ ex) jwplayer 동영상.js ] 최초 유포된 자바스크립트는 [그림 2]와 같이 난독화 되어 있으며, [그림 3]은 난독화 해제된 스크립트이다. 난독화 해제된 스크립트는 랜섬웨어를 실행하는 자바스크립트를 다운로드하여 실행한다. [그림 4]는 난독화 해제된 스크립트로부터 다운로드된 랜섬웨어를 실행하는 자바스크립트이다. 해당 스크립트는 내부 데이터를 디코딩한 파워셀 스크립트를 드롭하여 실행하는 기능을 수행한다. 아래 이전에 분석된 내용과 비교했을 ..
Ammyy 해킹툴에서 확인된 Shim Database(SDB) 인젝션 공격 ASEC은 FlawedAmmyy 백도어에서 Clop 랜섬웨어까지의 흐름을 확인 중 흔치 않은 방식의 공격 기법이 확인되어 알리고자 한다. Ammyy 백도어는 이전 블로그(https://asec.ahnlab.com/1237) 에서 언급한 바와 같이 사회공학적인 방법으로 시작하여 다운로더를 거쳐 최종적으로 백도어 악성코드가 설치되는 방식으로 동작한다. 이후 일종의 잠복기를 거쳐 CLOP 랜섬웨어가 설치되어 사용자의 시스템을 암호화하는데, Ammyy 백도어가 생성한 악성코드들 중 윈도우 어플리케이션 Shim Database 즉 sdb 파일을 악용하여 시스템에 또 다른 백도어를 사용자가 인식하기 힘든 방식으로 설치하는 종류의 악성코드들이 확인되었다. loader32.exe 등의 이름으로 생성되는 Injector..
워드 문서파일과 자바스크립트 형태로 유포되는 TrickBot 최근 국내 기업으로부터 난독화 되어 있는 스크립트 샘플이 접수되었다. 이는 2019년 초부터 해외에서 대량으로 유포되고 있는 Trickbot 다운로더로, 매크로를 사용하는 문서 파일 내부에 Javascript 파일이 내장되어 있어 이를 실행하면 Javascript가 악성 실행 파일을 다운받는 형태이다. 1. 문서 형태로 유포 WORD문서를 실행하면 아래 그림과 같이 ‘이전 버전에 만들어진 문서’라는 가짜 문구와 함께 ‘콘텐츠 사용’을 클릭하라는 문장이 적혀있다. 이는 VBA 매크로를 실행시켜 악성 스크립트를 동작하려는 속임수로 PC사용자는 가급적 알 수 없는 문서의 ‘콘텐츠 사용’ 버튼 누르는 것을 피해야 한다. 해당 문서의 특징은 본문 내부에 흰 글씨로 스크립트가 숨겨져 있다. 이후 WORD문서 프로그..
Exploit-Kit을 통해 유포되는 BlueCrab 랜섬웨어 (반복 UAC 주의) ASEC 분석팀은 최근 취약점 코드가 제거된 BlueCrab 랜섬웨어(=Sodinokibi)가 EK(Exploit-Kit)를 통해 유포 중인 것을 확인했다. 해당 랜섬웨어는 UAC(User Account Control) 알림 창을 출력하고 사용자가 확인을 누를 때까지 무한 반복하여 실행된다. 랜섬웨어가 파일을 암호화할 때 중요 폴더에 접근하거나, VSC(Volume Shadow Copy) 삭제 등의 행위를 하기 위해서는 관리자 권한이 필요하다. 기존 BlueCrab 랜섬웨어는 이를 위해 CVE-2018-8453 취약점을 사용하여 권한상승 행위를 하였지만 이번 유포에서는 취약점 권한상승 코드가 제거되었다. 해당 랜섬웨어는 Fallout EK를 통해 Drive-By-Download 기법으로 다운로드되어 실행..
취약점(CVE-2018-4878)을 악용한 러시아發 악성코드 유포 안랩 ASEC 분석팀은 최근 Adobe Flash Player의 원격코드실행 취약점인 CVE-2018-4878을 악용한 유포가 활발히 발생 되는 것을 확인하였다. 안랩의 ASD(Ahnlab Smart Defence) 시스템을 이용하여 해당 취약점으로 유포중인 악성코드들에 대한 선제적 탐지를 하고 있다. 악성코드 유포는 BlueCrab, CoinMiner, Smokeldr, Infostealer, KeyLogger 등 매우 다양하다. ASD 시스템을 이용하여 공격자 추적도 진행 중이며 그 결과 다수의 러시아 도메인을 확인할 수 있었다. 위 그림은 ASD 시스템에서 지난 1개월간 취약점과 스크립트를 이용하여 유포된 이력이 있는 리포트 현황을 그래프로 시각화한 데이터이다. 데이터에서 볼 수 있듯 주춤했던 유포..
[긴급] '스캔파일' 메일로 유포되는 워드 문서 주의 - Ammyy 유포 2019년 8월 9일 금요일 새벽 시간부터 국내 기업을 주로 대상으로 Ammyy 백도어를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 동일한 목적의 스팸 메일은 8월 8일부터 국외에서도 유포 되고 있으며, 국내에는 오늘 새벽 시간부터 집중적으로 유포되고 있다. 현재까지 확인 된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 '스캔파일' 이다. 해당 메일은 '스캔_(임의숫자).doc' 파일 이름의 Microsoft Office Word 워드 문서 파일을 첨부하고 있다. 메일 발송자는 '최성은'이며, 악성 워드 문서 내용은 '물품인수증'을 목적으로 한다. 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 워드 문서 실행시 다음과 같은 화면이 보이며 사용자의 매크로 콘텐츠 ..