전체 글보기1301 Hermes 랜섬웨어를 유포하는 GreenFlash Sundown 웹공격툴킷 국내 사이트 발견 최근 국내에서도 Hermes 랜섬웨어의 새로운 유포방식으로 알려진 "GreenFlash Sundown" 웹 공격툴킷(Web Exploit Kit)이 발견되었다. 침해된 사이트에 게시된 기사 페이지 내부에는 아래와 같이 난독화된 악의적인 스크립트가 포함되어 있고 이를 통해 "GreenFlash Sundown" 툴킷으로 연결된다. (그림) 삽입된 악의적인 스크립트 (그림) 난독화 해제된 스크립트 코드 "GreenFlash Sundown"은 Adobe Player를 위한 SWF 파일 형식으로 구성된 웹 공격툴킷(Web Exploit Kit)으로, 파일의 내부에서 난독화, 다운로드 및 파일 로딩 단계를 여러번 거치는 복잡한 내부구조를 갖는 것이 특징이다. 다단계 다운로드 구조 탐지 우회 및 난독화 기법 사용 다.. 2018. 3. 23. 스팸 메일로 유포되는 Hancitor 악성코드 재활동 스팸 메일에 첨부되어 유포되는 Microsoft Office 문서 파일 악성코드 중 Hancitor (Chanitor) 유형이 2016년 이후 다시 활발히 유포되고 있는 정황이 확인되었다. Hancitor 악성코드는 VBA 매크로를 이용하여 ‘사용자 정의 폼’ 내부의 암호화 된 쉘코드를 이용하여 생성한 PE를 정상 프로세스에 인젝션하여 악성 기능을 수행한다. 관련하여 2016년 다음과 같은 제목으로 본 블로그에 분석 정보를 제공하였다. ‘MS 워드 문서에서 폼 개체를 활용한 악성코드’ - http://asec.ahnlab.com/1052 최근 유포되고 있는 Hancitor 악성코드는 2016년과 비교했을 때 폼 개체 이용 및 프로세스 인젝션을 비롯한 전체적인 동작 방식에는 큰 변화가 없다. 부분적으로 쉘.. 2018. 3. 22. CVE-2018-0802 취약점을 활용한 악성코드 유포 주의 최근 CVE-2018-0802 취약점이 포함된 RTF 파일이 다수 유포된 정황이 확인 되었다. 대게 9~12KB의 작은 크기의 문서 파일 형태로 유포 되었으며, 주문/결제 확인 등의 문구를 통해 사용자의 실행을 유도 한다. 해당 문서 실행 시 문서 내에 포함된 쉘코드가 실행되어 추가적인 악성 행위가 발생한다. [ 그림 1. 문서 파일 형태 ] 문서 파일 내부에 Ole10Native 객체가 존재하고, 이 객체의 데이터 영역에 쉘코드가 포함되어 있다. [ 그림 2. RTF 내에 포함된 객체 ] 문서 파일 실행 시 내용이 없는 빈 문서처럼 보인다. [ 그림 3. 문서 파일 실행 ] 하지만 취약점으로 인해 사용자가 인지하지 못하게 정상 프로세스인 eqnedt32.exe 가 실행 되고 해당 파일에서 Overflo.. 2018. 3. 21. SMB 취약점 (EternalBlue) 을 악용하여 유포 되는 모네로 코인 마이너 사용자 몰래 가상화폐를 채굴하는 악성코드가 기승을 부리고 있다. 유포 및 감염 방법도 가지각색으로 USB 이동식 디스크를 통해 전파 되거나 이력서를 가장한 메일로 유포 되기도 한다 또한 웹 브라우저를 통해 마이닝 동작을 하는 악성코드도 있었다. 작년 5월 큰 이슈가 되었던 WannaCryptor 랜섬웨어 유포에도 사용된 SMB 원격 코드실행 취약점 (MS17-010 / 일명 EternalBlue ) 을 악용한 가상화폐 채굴 악성코드가 확인 되어 다시 한번 주의가 요구 된다. 사실 해당 취약점이 작년에 알려졌을 때도 이러한 악의적인 채굴 목적의 악성코드를 유포 하는데 주로 사용 되었다. 취약점이 알려지고 1년이 다 되어가는 시점에도 유사 악성코드가 활개를 치는 만큼 다시 한번 취약점 패치 유무를 점검하는 .. 2018. 3. 20. 지원서 및 정상 유틸로 위장하여 유포되는 GandCrab 랜섬웨어 (v2.0) 최근 새로운 버전의 GandCrab 랜섬웨어가 '지원서 및 정상 유틸리티 프로그램'으로 위장하여 유포되고 있음을 자사에서 확인하였다. 자사가 수집한 GandCrab의 수집경로는 아래 [표1]과 같다. 또한, 기존 v1.0과 달리 별도의 암호화 대상 확장자가 없어 대부분의 파일들이 암호화 됨으로 더 큰 피해가 발생할 수 있다. 수집 경로 지원서 위장(license.exe) ..\행정업무\프리랜서_계약비용\지원\이영윤\지원서\지원서\license.exe ..\documents\지원서\지원서\license.exe ..\desktop\이영윤\지원서\지원서\license.exe skype 위장(skype.exe) ..\pictures\이미지 링크정리\이미지 링크정리\skype.exe ..\documents\이미지.. 2018. 3. 19. Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용) 현재 Magniber 랜섬웨어는 한국을 타겟으로 유포되는 랜섬웨어 중 유포 건수가 가장 높다. 광고성 웹사이트의 정상적인 네트워크를 이용하는 멀버타이징 방식이 사용됨은 변함이 없지만, 최종적으로 랜섬웨어가 사용자 시스템에서 구동되는 방식은 주기적으로 변화하고 있다. 그리고 3월 15일, 유포 스크립트의 변화로 인해 TSWbPrxy.exe가 사용되는 새로운 구동방식 발견되었다. 이러한 유포 방식은 2016년 6월 CryptXXX 랜섬웨어 유포에서도 사용된 방법으로 동일한 제작자에 의해 만들어 지는 것으로 추정된다. TSWbPrxy.exe는 특정 응용 프로그램을 실행하는 데 사용되는 MS제공 윈도우즈의 정상 프로그램이다.은 Magniber 랜섬웨어 유포에 사용되는 자바 스크립트 원본이다. Magniber 랜.. 2018. 3. 16. USB 전파기능의 JS 파일 내 자기 방어 기법 'USB 전파기능의 JS 파일에서 확인된 모네로 채굴기' 에 사용 된 악성자바스크립트에서 자기 방어 기법이 확인 되었다. 방어기법은 wscript.exe 프로세스를 강제종료 시, 스크립트 코드에 의해 시스템을 강제로 종료하는 기능이 확인되었다. 악성 스크립트가 어떻게 자기방어를 하는지 알기 위해서는 악성 스크립트 동작 방법을 이해해야 한다. 악성 스크립트가 실행되면 인자(Arguments)에 따라 USB감염, 특정 프로세스들을 강제종료하는 하위 스크립트가 실행된다. 그리고 C2에서 추가 스크립트를 전달 받으면 wscript.exe 가 다시 실행된다. 즉, 악성 자바스크립트는 총 세번의 하위 스크립트 실행이 존재하며 C2에서 전송되는 파일에 따라 추가 악성행위가 달라 질 수 있다. powershell을 통.. 2018. 3. 13. USB 전파기능의 JS 파일에서 확인된 모네로 채굴기능 최근 USB 이동식 디스크를 통해 전파되는 자바스크립트 파일(JS) 악성코드에서 모네로 채굴관련 파일을 다운로드하는 기능이 확인되었다. 전파기능에 의해 웜(Worm) 유형의 악성코드로 분류되는 이러한 유형은 과거에도 많이 알려진 형태이며, 아래의 [그림 1]에서 처럼 난독화된 형태를 갖는다. 감염 시, USB 내부의 폴더들이 모두 숨김속성으로 변경되며, 동일이름의 ‘바로가기’(*.LNK) 링크파일을 생성하고 사용자로 하여금 클릭을 유도한다. 폴더로 착각하여 클릭한 바로가기 링크파일에 의해 자바스크립트 파일이 실행되는 구조이다.[그림 1] 난독화 된 악성 자바스크립트 악성 자바스크립트가 실행되면 [그림 2]와 같이 C:\Users\vmuser\AppData\Roaming\[랜덤명] 폴더에 원본 JS 파일을.. 2018. 3. 9. 이전 1 ··· 31 32 33 34 35 36 37 ··· 163 다음
