본문 바로가기

SMB3

SMB 전파기능의 Lemon_Duck 악성코드 유포 ASEC 분석팀은 레몬덕(Lemon_Duck)이라 불리는 파워쉘 악성코드가 국내에서 유포된 것을 확인하였다. 이 악성코드는 복잡한 과정을 거쳐 다양한 중간 악성 파워쉘을 통해 감염되며 SMB(Server Message Block) 취약점(MS17-010), RDP 무차별 대입 공격 등 다양한 공격 기법을 이용해 동일한 네트워크 상에 연결된 시스템에 확산된다. [그림 1]과 레몬덕 악성코드의 동작 과정을 구조화한 것이고, [표 1]은 공격 단계별 악성코드의 정보를 요약한 것이다. 구체적으로 살펴보면, 조직 내부 유입 후 SMB 취약점에 의해 서비스가 실행되어 작업 스케줄러에 파워쉘 명령을 등록한다. 이렇게 등록된 파워쉘 명령이 파워쉘 스크립트(Powershell_1)를 다운로드 및 실행한다. 이 파워쉘 스.. 2019. 12. 3.
Petya와 유사한 Diskcoder(혹은 Bad Rabbit) 랜섬웨어 Petya와 유사한 Diskcoder (혹은 Bad Rabbit) 랜섬웨어가 10월25일 최초 동유럽에서 보고 되었다. 유포 방식은 DBD (Drive By Download) 로 추정 되며 가장 상위의 드롭퍼는 Adobe Flash Player 설치파일로 위장 되었다. [그림 1] - 구조 흐름도 드로퍼는 주요 악성기능을 수행하는 DLL 파일을 드롭 한 후 Rundll32.exe 이용하여 실행한다. 아래 표와 같이 인자 값이 주어지는데 해당 인자 ‘15’는 추후 악성코드가 재부팅 명령을 수행할 때 시간 조건으로 사용한다. 자세한 내용은 아래에 언급된다. 생성 경로 및 파일명 C:\windows\infpub.dat 실행 명령 C:\windows\system32\rundll32.exe C:\windows\i.. 2017. 10. 27.
Conficker 조치 가이드 (1) 1. Conficker 개요 ------------------------------------------------------------------------------------------------------- 해당 악성코드는 윈도우 보안 취약점(MS08-067), 관리공유 및 이동디스크를 통해 빠르게 확산되어 네트워크 자원(랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트로 대량의 트래픽 발생)을 소모시킨다. 추가적으로 진단을 어렵게 하는 기법이 사용되었는데, 악성코드 원본을 Svchost.exe에 Remote Handle(원격핸들)로 오픈하여 실행되며, 악성코드가 등록한 레지스트리 서비스 및 악성파일 원본에 Read권한을 없애 파일/레지스트리에 접근을 불가능하게 한다. 2. Co.. 2009. 10. 13.