본문 바로가기

악성코드 정보

Microsoft Office Excel - DDE 이용 악성 기능 실행 (2) 지난 12월 안랩 ASEC은 DDE (Dynamic Data Exchange)를 이용하여 페이로드를 전달하는 악성 엑셀 문서 파일에 대해 정보를 공개하였다. 당시 접수된 유형은 CSV 형식 엑셀 파일에 cmd 커맨드를 포함한 수식 표현을 통해 악성 기능을 실행하였다. 또한 백신 제품의 진단을 우회하기 위해 반복된 개행이나 무의미한 랜덤 문자 등을 다수 삽입하였다. (관련 글: 'Microsoft Office Excel - DDE 이용 악성 기능 실행') 최근에 접수된 악성 엑셀 파일 변종은 기존과 같이 DDE를 이용하였지만 cmd 응용 프로그램을 직접 호출하는 것이 아닌 MSEXCEL 엑셀 인스턴스를 통해 cmd 커맨드를 호출하도록 하였다. 그리고 CSV 형식인 파일 앞부분과 MSEXCEL 앞부분에 무의..
PDF 형태로 유포되는 Phishing 악성코드 (URL 탐지 우회) 안랩 ASEC은 최근 피싱 공격에 사용되는 PDF 악성코드가 URL 탐지를 우회하는 방식으로 제작되어 유포 중인 것을 확인하였다. 피싱(Phishing)이란, ‘private data’와 ‘fishing’의 합성어로서 사용자 스스로 개인 정보를 입력하도록 유도하여 갈취하는 공격이다. 이러한 피싱 공격에 사용되는 PDF 악성코드는 주로 자극적인 내용을 통해 사용자의 호기심을 유발하여 피싱 사이트로의 링크 클릭을 유도한다. 일반적인 PDF 뷰어 프로그램은 사용자가 링크를 클릭할 때, 아래의 사진과 같이 URL을 보여주고 해당 사이트에 대한 연결 여부를 묻는 메시지 박스를 팝업시킨다. 이러한 방식이 사용되기 때문에 PDF 파일 내부에는 피싱 사이트의 URL 문자열이 존재하게 된다. 최근 발견된 PDF 악성코드..
국내 유포 중인 Gandcrab v5.1 안랩 ASEC은 2019년 1월 17일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.1을 발견하였다.1월 16일까지는 이력서로 가장한 Gandcrab과 JS 스크립트를 통해 유포되는 Gandcrab은 모두 v5.0.4로 같았다. 그러나 1월 17일부터 이력서를 통해 유포되는 Gandcrab 버전이 5.1로 변경되었다. (JS 스크립트를 통해 유포되는 GandCrab은 v5.0.4) 2018년 11월 15일 발견 된 이력서를 가장하여 유포중인 Gandcrab(http://asec.ahnlab.com/1178)과 달리, 첨부파일을 통해 랜섬웨어를 실행한다. 첨부파일에는 정상 이력서 문서 파일(*.doc)과 이미지 파일로 위장한 실행파일, 랜섬웨어를 실행하는 바로가기 파일(*.l..
국내 백신에 대한 새로운 무력화 시도 (GandCrab v5.0.4) 최근 ASEC은 GandCrab 유포 스크립트를 모니터링 중 국내 백신을 대상으로 하는 새로운 무력화 방식을 사용함을 포착하였다. 이전 버전에선 아래의 [그림 1]과 같이 "Uninst.exe"의 실행을 통해 제품 삭제를 시도했다면, 최근 발견된 유포 스크립트는 해당 방식을 제거하고 V3 서비스를 종료하려는 새로운 시도가 발견 되었다. (지난 글: http://asec.ahnlab.com/1171) [그림 1.] 기존 V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3) 동작방식에 있어서도 변화가 확인되었으며 기존에는 *.JS 자바 스크립트 파일에 의해 GandCrab 랜섬웨어 실행파일(*.EXE)이 생성 및 실행되는 구조였다면, 현재 유포되는 형태는 아래의 [그림 2]와 같이 파워쉘을 통해 ..
Microsoft Office Excel - DDE 이용 악성 기능 실행 마이크로소프트 오피스 제품에서 애플리케이션 사이에서 데이터 전달을 위해 제공하는 프로토콜인 DDE (Dynamic Data Exchange)를 이용하여 페이로드를 전달하는 문서 파일은 VBA 매크로 코드를 이용하지 않고도 악성 기능을 수행할 수 있는 방법이다. 2017년 하반기부터 본격적으로 이러한 DDE를 이용한 악성 워드, 엑셀 등의 문서 파일이 유포되었고, 그해 12월 마이크로소프트는 워드만 DDE 기능을 기본적으로 비활성 하였다. 반면 엑셀에 대해서는 DDE 비활성화를 하지 않았으며 다음과 같은 수식(Formula) 표현으로 여전히 calc 프로세스를 실행하는 cmd 커맨드를 실행할 수 있다. =cmd|'/C calc'!A0 +cmd|'/C calc'!A0 -cmd|'/C calc'!A0 @SUM..
GandCrab 5.0.9 등장 안랩 ASEC은 갠드크랩 악성코드관련 정보를 게시하는 marcelo 트위터를 통해 GandCrab의 새로운 버전인 v5.0.9 파일을 확인하였다. 현재 국내에서 활발히 유포 되고있는 Gandcrab v5.0.4와 다른 점은 아래 [그림 1]과 같은 메시지 창을 가장 먼저 띄운다. 이 메시지를 보면 곧 국내에도 Gandcrab v5.0.9가 유포될 것으로 보이며 사용자들의 주의가 필요하다. [그림 1] 메시지 박스 해당 메시지 박스를 클릭하기 전 까지는 감염이 되지 않으며 확인을 누를 시 기존에 알려진 Gandcrab과 동일하게 특정 프로세스 종료 및 특정 사용자 언어를 확인하여 감염 유무 결정, 암호화 시 랜덤명으로 확장자 변경 등의 행위를 한다. 바탕화면과 랜섬노트, 내부버전 모두 5.0.9로 변경되었..
DOC 확장자를 사용하는 XML파일 대량 유포 중 (Emotet) 안랩 ASEC은 국내 사용자를 대상으로 문서 확장자를 사용하는 XML파일을 스팸 메일을 통해 유포되고 있음을 확인하였다. XML(Extensible Markup Language)파일은 구조적인 데이터를 쓰기위해 만들어진 파일로 다양하게 사용되고 있다. 현재 국내에 유포되는 doc확장자의 XML파일은 아래 그림처럼 상단에 가 명시되어 있다. 이는 XML파일을 Word로 연결하여 실행하겠다는 의미이며, 이후 내용은 Word로 읽어 실행된다. progid값은 다른 값으로도 사용될 수 있으며 이는 형태의 Excel 파일로 악용될 수 있음을 시사한다. XML파일을 실행하면 Word 프로그램을 통해 실행되며 VBA (Visual Basic for Applications, Microsoft Office 응용프로그램의..
CVE-2018-8174 취약점 분석 안랩 ASEC은 랜섬웨어를 포함하여 국내 악성코드 유포에 널리 사용되는 IE 취약점 CVE-2018-8174에 대한 분석을 진행하였다. 해당 취약점은 메그니베르 랜섬웨어 유포에도 사용되고 있으며, 보안패치 적용을 통해 피해를 예방하는 작업이 필요하다. MS 보안 업데이트 페이지 (CVE-2018-8174)- https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-8174 01. 요약1) CVE-2018-8174 개요 CVE-2018-8174 취약점은 VBScript엔진의 Use After Free 발생으로 인한 객체 재사용으로 발생한다. 원격 실행이 가능한 취약점이며, 영향받는 버전은 Internet explorer8, In..