본문 바로가기

악성코드 정보1046

[주의] 국내 은행 사칭 피싱메일에 의한 랜섬웨어 공격 12월 20일 국내를 대상으로 다운로더 악성코드를 유포하는 스팸메일이 유포되고 있어 사용자의 주의가 필요하다. 해당 HTML 파일 실행 시 다음과 같이 국내 은행을 사칭한 화면을 볼 수 있다. 패스워드로 생년월일 6자리를 입력하게 되어있지만, 공백을 제외한 아무 문자나 입력 가능하다. 패스워드 입력 후 Confirm 버튼을 클릭하면 악성 매크로가 포함된 엑셀 파일이 다운로드된다. 보안암호첨부.html (최초 피싱메일에 첨부) 1219190024759XLS.xls (피싱메일로 부터 다운로드 받은 엑셀파일) outgoing.dll (엑셀파일에서 다운로드되는 다운로더 DLL) temp01.exe (DLL 파일에 의해 다운로드되는 랜섬웨어) 아래 그림은 수신되는 메일의 내용과 HTML 실행시의 화면들이다. 메일.. 2019. 12. 20.
파일리스 형태의 블루킵(BlueKeep) 취약점 V3 행위탐지 영상 지난 5월 14일 MS는 블루킵(CVE-2019-0708) 취약점 패치를 위해 긴급 보안 업데이트를 공지하였다. 또한 이례적으로 서비스 지원을 중단한 OS(Windows XP, Windows Vista, Windows Server 2003)까지 업데이트를 제공하며 블루킵 취약점을 2017년의 이터널 블루 취약점과 같이 ‘Wormable’한 취약점으로 악용될 수 있음을 경고하였다. 블루킵은 클라이언트와 서버간의 RDP(Remote Desktop Protocol) 연결 과정 중 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송했을 때 Use-After-Free가 발생하여 원격 코드 실행이 가능한 취약점이다. 패치 업데이트가 최초 공개된 5월 14일 이후 4개월이 지난 9월 6일에는 메타스플로잇에.. 2019. 12. 17.
소송 관련 내용의 악성 한글 HWP 파일 유포 - 코니(KONNI) 조직 오늘 ASEC 분석팀에 신규 악성 HWP 한글 파일이 접수되었다. 접수된 문서는 모 민간 병원의 법률 소송 관련 소송대리인 답변 내용으로 되어 있다. 한글 파일은 악성 포스트스크립트(Postscript) 파일을 포함하고 있다. 포스트스크립트를 통해 실행되는 쉘코드 기능을 파악한 결과, '코니(KONNI)' 조직에서 유포한 한글 파일로 확인된다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 이○○ 답변서 최정본. MD5: bbde7c694faf6b450adbfc8efe88a41a SHA256: f5339239a6bcda0afe61e6ef8bfafe51e4aba510b68e219e95cf4918033dc463 주요 행위 쉘코드는 실행시 악성 유포지 주소에 접속하여 2개의 파일을 다운로드한다. 현재.. 2019. 12. 12.
동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램 타겟으로 다양한 악성코드를 삽입하여 유포한 것으로 랜섬웨어(RaaS: Ransomware as a Service) 뿐 아니라 다양한 악성코드가 서비스 형태로 유포되는 것으로 추정된다. Nemty, Ryuk, BlueCrab, Raccoon, Predator 이름의 악성코드들은 기존에도 특정 패커로 포장되어 지속적으로 유포되어 왔지만 이번에 발견된 외형(패커: Packer)은 현재까지 사용된 것과는 구조와 형식이 특이하다. 현재 확인된 외형은 [그림2]와 같이 파일.. 2019. 12. 11.
V3 Lite 4.0 새로운 탐지기능 소개: 매그니베르(Magniber) 랜섬웨어 차단 파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2018년 4월에 ASEC블로그를 통해 복구툴을 배포한 후, 암호화 방식의 변화로 2018년 6월부터 현재까지 등장하는 형태는 모두 복구가 불가능한 형태로 유포 중이다. 여전히 국내 피해사례가 많은 상황이며, IE 취약점(CVE-2018-8174)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. ASEC 분석팀에서는 지속적으로 매그니베르 랜섬웨어 유포지를 모니터링하고 있으며, 1)11월 11일 이후 동작방식의 변화를 확인하였다. 어떠한 동작방식의 변화가 있었는지를 설명하고, V3 Lite 4.0 제품에 새롭게 적용된 '프로세스 메모리 진단' 탐지기능을 통한 2)암호화 차단과정을 소개하고자 한다. 매.. 2019. 12. 10.
SMB 전파기능의 Lemon_Duck 악성코드 유포 ASEC 분석팀은 레몬덕(Lemon_Duck)이라 불리는 파워쉘 악성코드가 국내에서 유포된 것을 확인하였다. 이 악성코드는 복잡한 과정을 거쳐 다양한 중간 악성 파워쉘을 통해 감염되며 SMB(Server Message Block) 취약점(MS17-010), RDP 무차별 대입 공격 등 다양한 공격 기법을 이용해 동일한 네트워크 상에 연결된 시스템에 확산된다. [그림 1]과 레몬덕 악성코드의 동작 과정을 구조화한 것이고, [표 1]은 공격 단계별 악성코드의 정보를 요약한 것이다. 구체적으로 살펴보면, 조직 내부 유입 후 SMB 취약점에 의해 서비스가 실행되어 작업 스케줄러에 파워쉘 명령을 등록한다. 이렇게 등록된 파워쉘 명령이 파워쉘 스크립트(Powershell_1)를 다운로드 및 실행한다. 이 파워쉘 스.. 2019. 12. 3.
NEMTY 랜섬웨어 v2.2 국내발견!! 2019년 12월 02일 ASEC 분석팀은 NEMTY 랜섬웨어 버전이 2.0에서 2.2로 업데이트 되어 유포된 것을 발견하였다. '이력서' 또는 '부당 전자상거래 위반행위 안내' 로 위장한 유포방식을 포함해 감염제외 국가, 감염 대상, 감염 제외 파일, 폴더 모두 기존 NEMTY REVENGE 2.0과 동일하다. [유포 파일명] \강주경\이력서\포트폴리오.hwp.exe \강주경\이력서\이력서.hwp.exe \이시우\___\___.hwp.exe \장민우\___\___.hwp.exe 기존 버전과 달라진 점은 아래와 같이 뮤텍스 이름이 변경되었다. NEMTY 2.0 뮤텍스 이름: just_a_game NEMTY 2.2 뮤텍스 이름: just_a_little_game 2019.11.20 PDF 문서로 위장하여 .. 2019. 12. 2.
[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록) 안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다. 2019.11.18 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 .. 2019. 11. 22.