분석 정보/악성코드 분석 정보396 Powershell을 통해 실행되는 DoubleBack 악성코드 미국의 전자 제품 회사의 임원으로 위장한 피싱 메일이 발견되었다. 공격자는 피싱 메일에 악성 파일을 다운로드 할 수 있는 링크를 포함하여 사용자로 하여금 악성 파일을 다운로드 하도록 유도하였다. 다운로드 한 Zip 파일은 가짜 PDF 파일과 다운로더 악성코드로 구성되었는데, 피싱 메일이 유포된 시기에 따라 다운로더 악성코드 파일이 변경되었다. 공격 초기에는 JavaScript 로 작성된 다운로더 악성코드가 유포되었지만, 이후 발견된 사례에서는 악성 Excel 파일이 유포된 것으로 알려졌다. 만약 사용자가 악성 JavaScript 혹은 Excel 파일을 실행하면 추가 파일을 다운로드하여 악성 행위를 수행한다. 악성 동작 사용자가 악성 Excel 파일 실행 시, Excel 파일 내부의 매크로를 통해 공격자의.. 2021. 6. 10. 중국 해커 SharpPanda의 RoyalRoad를 사용한 APT 공격 최근 동남아시아의 정부 기관을 타겟으로 하는 APT 공격이 발생하였다. 관련 내용은 자사 블로그 '최신 보안 동향'에서 확인이 가능하다. 2021.06.07 - [최신 보안 동향] - SharpPanda의 동남아시아 외무부 공격 해당 공격은 중국 해커 그룹인 SharpPanda에 의해 발생하였으며, 피싱 메일을 통해 시작되었다. 피싱 메일은 RoyalRoad 악성코드를 다운로드하고 이 후, 사용자 정보를 탈취하고 파일을 다운로드 하는 등의 악성 동작을 수행한다. 이번 APT 공격은 다음의 흐름도와 같이 진행되며, 위의 RoyalRoad의 변종으로 기존의 동작과 다른 점을 확인할 수 있다. 아래의 그림과 같이, 피싱 메일은 다른 정부기관을 사칭하였으며, 해당 메일의 첨부 파일은 정식 문서를 가장한 악성 문.. 2021. 6. 9. AutoHotKey(AHK) 스크립트 파일에 악성코드를 숨겨 유포하는 캠페인 지난 2월경, AutoHotKey(AHK) 스크립트 언어를 기반으로 만든 실행 파일을 통해 악성코드를 유포시키는 캠페인이 등장했으며 현재까지 더욱 정교한 공격을 위해 패치를 거듭하고 있다. AutoHotKey 스크립트는 매크로를 정의하여 사용할 수 있도록 해 주는 유틸리티로 해당 캠페인에서 vbs 파일을 삽입해 페이로드를 드랍하고, 실행한다. 악성 페이로드는 사용자가 알아차릴 수 없도록 파일의 형체가 없는 파일리스 형태로 실행되어 감염 사실을 숨긴다. 해당 캠페인을 이용하여 유포된 RAT에는 "Revenge RAT", "Async RAT", "Houdini RAT", "Vjw0rm"이 있다. 또한, 캠페인에는 "AHK 로더 공격 방식", "PowerShell 공격 방식", "HCrypt 공격 방식"이 존.. 2021. 5. 31. MSBuild의 기능을 악용하여 유포된 악성코드 애플리케이션을 빌드하기 위한 프로그램인 "MSBuild"의 기능을 악용하여 악성코드를 유포한 사례가 발견되었다. "MSBuild" (Microsoft Build Engine)는 애플리케이션을 빌드하기 위해 마이크로소프트에서 제공하는 개발도구이며, 일반적으로 Visual Studio에서 애플리케이션을 빌드할 때 사용한다. 또한 Visual Studio가 설치되지 않은 환경에서도 빌드 할 수 있도록 기능을 제공하는데, 최근 발견된 사례의 경우 "MSBuild"의 기능을 악용해 악성코드를 실행하고 추가 악성행위를 수행한다. 악성 프로젝트 파일 "MSBuild"는 빌드 시 프로젝트 파일(.proj)을 읽어 빌드를 수행하는데, 프로젝트 파일에는 데이터베이스 설정, 다른 프로젝트 정보 가져오기 및 수행할 작업 지정.. 2021. 5. 28. RoyalRoad RTF 문서를 통해 유포된 PortDoor 악성코드 "RoyalRoad" 악성문서 빌더로 생성된 RTF 파일을 통해 "PortDoor"라는 악성코드 유포 사례가 발견되었다. 최근 러시아의 국립 연구 센터의 책임자를 대상으로 피싱 메일이 유포되었으며, 해당 이메일에는 "RoyalRoad”로 생성된 악성 RTF 파일이 첨부되었다. 첨부된 파일 실행 시 감염환경에서 “PortDoor” 악성코드를 실행한 뒤 C&C 서버로 연결하여 정보 탈취, 파일 실행 등 공격자의 명령을 수행한다. RoyalRoad "RoyalRoad"는 "8.t Dropper" 또는 “8.t RTF Exploit Builder”로도 불리며 Tick, Tonto 및 Persicope 등 중국의 해커 그룹이 사용하는 악성 RTF 문서 생성 도구로 알려져 있다. 해당 도구로 생성된 RTF 파일을 .. 2021. 5. 18. ICMP Tunneling 기법을 사용하는 PingBack 악성코드 최근 침입차단시스템을 우회하기 위해 ICMP 패킷에 데이터를 추가해 공격자와 통신하는 "PingBack" 백도어 악성코드가 발견됐다. 해당 악성코드는 MSDTC 서비스가 로드하는 DLL로 위장한 후 DLL 하이재킹을 이용해 사용자의 컴퓨터에서 실행하며, 공격자는 명령어가 포함된 ICMP 패킷을 감염된 컴퓨터에 보내 악의적인 행위를 수행한다. "PingBack" 악성코드는 사용자의 컴퓨터에 백도어를 설치하기 위해 [그림 1]과 같이 MSDTC 서비스가 로드하는 "oci.dll"로 위장한다. MSDTC(Microsoft Distributed Transaction Coordinator) 서비스는 여러 시스템에 분산된 트랜잭션을 처리하기 위해 사용하며, "oci.dll"은 오라클 데이터베이스를 조작하는데 사용하.. 2021. 5. 18. 이전 1 ··· 14 15 16 17 18 19 20 ··· 66 다음
