잉카인터넷 시큐리티대응센터 블로그

1. 개요 올해 5월, “BPFDoor” 악성코드의 새로운 버전이 발견됐다. “BPFDoor” 악성코드는 커널 필터링 기능인 BPF(Berkley Packet Filter)를 사용해 들어오는 트래픽을 방화벽이 탐지하기 전에 필터링한다. 필터링을 통과한 후에는 감염된 PC에서 공격자가 보낸 데이터나 명령에 따른 행위를 수행한다. “BPFDoor” 변종의 주요 특징은 공격자의 C&C 서버와 통신하는 방식을 변경했다는 점이다. 이전 버전은 바인드 셸 방식과 iptables의 규칙을 변경해 네트워크를 연결했었다. 그러나 변종 악성코드에서는 리버스 셸 방식으로 네트워크를 연결한 후 공격자가 전송한 명령을 실행한다. 추가로 프로그램 내부에서 매직 패킷(Magic Packet)을 확인해 필터를 통과한 경우에만 네트워..

최근 전 세계의 교육, 군사 및 의료 등 다양한 분야를 대상으로 하는 “Rhysida” 랜섬웨어의 공격 사례가 잇따라 발견되고 있다. 공격자는 피싱 이메일로 사용자 PC에 접근한 후, 코발트 스트라이크(Cobalt Strike)와 같은 명령 및 제어 프레임워크를 이용해 해당 랜섬웨어를 다운로드한다. 이후, 원격 제어 프로그램 “Psexec”를 이용해 다운로드한 랜섬웨어를 실행한다. “Rhysida” 랜섬웨어는 사용자 PC의 파일을 암호화하고, “CriticalBreachDetected.pdf”란 이름의 랜섬노트를 생성한다. 해당 랜섬웨어는 암호화된 파일의 파일명에 “[.rhysida]” 확장자를 추가한다. 암호화는 랜섬웨어 실행 시 대상 폴더를 지정할 수 있으며, 대상 폴더를 생략하면 시스템 전체를 대상..