분석 정보/악성코드 분석 정보397 BPFDoor 변종 발견 및 유형별 BPF 필터 코드 차이점 비교 1. 개요 올해 5월, “BPFDoor” 악성코드의 새로운 버전이 발견됐다. “BPFDoor” 악성코드는 커널 필터링 기능인 BPF(Berkley Packet Filter)를 사용해 들어오는 트래픽을 방화벽이 탐지하기 전에 필터링한다. 필터링을 통과한 후에는 감염된 PC에서 공격자가 보낸 데이터나 명령에 따른 행위를 수행한다. “BPFDoor” 변종의 주요 특징은 공격자의 C&C 서버와 통신하는 방식을 변경했다는 점이다. 이전 버전은 바인드 셸 방식과 iptables의 규칙을 변경해 네트워크를 연결했었다. 그러나 변종 악성코드에서는 리버스 셸 방식으로 네트워크를 연결한 후 공격자가 전송한 명령을 실행한다. 추가로 프로그램 내부에서 매직 패킷(Magic Packet)을 확인해 필터를 통과한 경우에만 네트워.. 2023. 9. 1. OpenCarrot 백도어 Sentinel Labs에 의해, 러시아의 군용 제조업체에 발생한 침해 공격이 북한의 소행인 것으로 밝혀졌다. 해당 공격에서 OpenCarrot 이라는 Windows 백도어를 사용하였으며, 이메일 등을 통해 유포된 것으로 전해진다. 백도어는 비정상적인 인증 과정을 통해 시스템에 접근하고, 시스템에 설치되면 다양한 악성 동작을 수행한다. OpenCarrot 백도어의 경우, 아래의 그림과 같이 복잡한 페이로드를 통해 사용자 PC에 설치된다. 해당 파일은 시스템 파일에 인젝션하여 바이너리를 다운로드하고, 다운로드된 바이너리를 통해 최종적으로 OpenCarrot 백도어가 생성된다. 해당 파일이 실행되면, 시스템 폴더에 실행 파일 중에서 UAC 권한 상승이 필요없는 파일을 대상으로 프로세스를 생성하여 코드 인젝션.. 2023. 8. 23. Outlook 사용자를 대상으로 유포되는 ORPC 백도어 악성코드 최근 “Bitter” 해커 그룹의 새로운 공격 도구인 “ORPC” 백도어가 발견됐다. 해당 백도어는 전자 메일 서비스 Outlook 사용자를 대상으로 유포되며, Microsoft Office의 구성요소 중 하나인 “OLMAPI32.DLL” 파일로 위장한다. 해당 DLL은 Outlook 실행 시 로드되는 모듈로 사용자가 Outlook을 실행하면, 백도어는 해당 DLL을 하이재킹해 대신 로드된 후 악성 동작을 수행한다. “ORPC” 백도어는 먼저 작업 스케줄러에 Outlook을 주기적으로 실행하는 새로운 작업을 추가해 지속성을 획득한다. 해당 작업은 [그림 1]과 같이 “Miscrosoft Update”라는 이름으로 등록돼 정상 작업처럼 위장한다. 이후, 감염된 PC의 프로세스 목록과 시스템 정보를 수집한다.. 2023. 8. 23. 구글 광고로 유포되는 Statc Stealer 공격자가 정상적인 웹사이트, 프로그램으로 위장하며 사용자를 속이고, 악성 파일을 실행하도록 유도하는 일은 늘 있었다. 최근에는 한발 더 나아가 구글 검색 결과 상단에 노출되는 광고에 정상 웹사이트로 위장한 피싱 사이트를 게시하는 등, 대담한 모습을 보이고 있다. 이번에 발견된 Statc Stealer 도 이러한 방식으로 구글 광고를 통해 사용자를 끌어들인 후 악성 파일의 다운로드, 실행을 유도하고 있다. 피싱 사이트로부터 다운로드받은 Statc 드랍퍼는 유효하지 않은 Dropbox 社 인증서로 Signing 된 채, Avanquest 社에서 개발한 Expert PDF 라는 이름의 정상 프로그램으로 위장하여 유포되었다. 드랍퍼가 실행되면 %LOCALAPPDATA%\Temp 경로에 정상 프로그램으로 위장하기.. 2023. 8. 23. 웹 브라우저 업데이트로 위장한 RedEnergy 스틸러 웹 브라우저 업데이트로 위장해 “RedEnegy” 스틸러를 유포하는 캠페인이 발견됐다. 주요 대상은 브라질과 필리핀의 산업 분야이며, 공격자는 대상 산업의 홈페이지 링크를 리다이렉션해 가짜 사이트로 접속을 유도한다. 해당 사이트는 웹 브라우저 업데이트가 필요하다는 메시지와 함께 다운로드 링크를 제공한다. “RedEnergy” 스틸러는 해당 링크에서 다운로드 되며, 실행 시 감염 PC에서 정보를 탈취한다. 또한, 파일을 암호화하고 파일 복구를 빌미로 랜섬머니를 요구하는 랜섬웨어의 동작도 수행한다. “RedEnergy” 스틸러를 실행하면, 임시 폴더에 2개의 파일을 드롭한다. 하나는 실제로 웹 브라우저를 업데이트하는 정상 파일이고, 다른 하나는 악성 동작을 수행하는 악성코드이다. - 파일명 : tmp[4자리.. 2023. 8. 14. DLL 하이재킹을 통해 퍼지는 Qbot QakBot 이라고도 알려진 Qbot 은 이메일과 같은 전통적인 전파 수단뿐만 아니라, OneNote, CHM 과 같이 최신 유행하는 전파 수단을 적극적으로 활용하는 모습을 보여왔다. 최근에는 한발 더 나아가 DLL 하이재킹 기술을 통해 정상 실행 파일에 악성 DLL 을 로딩하는 공격 방식이 사용되고 있다. DLL 하이재킹 공격은 Windows OS 의 DLL 로딩 우선 순위를 이용하여, 정상 DLL 대신 동일한 이름의 악성 DLL 을 로딩하는 공격법이다. 최근 발견된 Qbot 은 정상 Wordpad 실행 파일과 악성 DLL 파일 edputil.dll 을 ZIP 으로 압축하여 유포되고 있다. 원래대로라면 Wordpad 는 시스템 폴더 내의 정상 edputil.dll 파일을 로딩해야 하나, DLL 로딩 순.. 2023. 6. 15. 이전 1 ··· 3 4 5 6 7 8 9 ··· 67 다음
