분석 정보884 Go 언어로 작성된 Aurora 인포스틸러 최근 안티 바이러스 제품의 탐지를 회피할 목적으로 비주류 프로그램 언어로 작성된 악성 파일이 증가하는 추세이다. Aurora 로 알려진 인포스틸러도 이러한 부류 중 하나로, 다중 플랫폼 빌드를 지원하는 Go 언어로 작성되어 윈도우, Linux OS 를 대상으로 작성되어 퍼져나가고 있다. 윈도우 OS 를 대상으로 작성된 Aurora 가 실행되면 wmic 기능을 이용하여 시스템의 기본 정보를 수집하고, 현재 화면의 스크린샷을 찍어 저장한다. 또한 시스템을 탐색하며 브라우저, 가상화폐 지갑, 게임, 등과 관련된 애플리케이션의 설치 여부를 확인한 후, 각 애플리케이션 데이터에 저장된 개인 정보를 수집한다. 수집된 시스템 정보는 json 포맷으로 변환되어 공격자 서버로 전송된다. 정보 탈취 후에는 추가 악성 행위.. 2023. 4. 21. 사이버 보안 권고가 발표된 Royal 랜섬웨어 Royal 랜섬웨어는 2022년 9월경 등장해 미국 등의 국가에서 중요 인프라를 대상으로 한 공격에 활발히 사용되고 있다. 지난 11월에는 처음으로 LockBit 랜섬웨어를 제치고 사이버 범죄 활동에 가장 많이 사용된 랜섬웨어로 기록됐다. 또한, 최근에는 미국 보안 기관인 CISA에서 Royal 랜섬웨어에 대한 사이버 보안 권고 AA23-061A를 발표하기도 했다. 해당 랜섬웨어에 감염될 경우 암호화된 파일에 ".royal" 확장자를 추가하고 "README.TXT"란 이름의 랜섬노트를 생성한다. 이후, 랜섬노트를 통해 피해자에게 감염된 파일의 복구를 빌미로 랜섬머니를 요구한다. 1. 행위 분석 1.1. 파일 실행 인자값 Royal 랜섬웨어는 “-path”, “-id” 및 “-ep” 인자를 사용한다. [표.. 2023. 3. 31. 중국에서 유포된 정보탈취형 악성 앱 최근 중국에서 유포된 것으로 보이는 정보탈취 앱이 발견되었다. 이 악성 앱은 중국에서 제작 및 판매되는 한 프레임워크를 사용하여 제작되었으며, 앱의 언어 또한 중국어로 설정되어있다. 해당 악성코드는 쇼핑 앱으로 위장하였으며, 문자메시지를 탈취하고 원격지와 통신하여 추가적인 다운로드 동작을 수행한다. 해당 앱은 아래의 그림과 같이 웹사이트를 통해 유포되었으며, 설치 버튼을 누르면 애플리케이션이 다운로드 된다. 문자메시지 수신 동작이 확인되면, 문자메시지 내용과, 수신지, 날짜, 앱의 버전, 안드로이드 id 등의 정보를 탈취하여 원격지로 전송한다. 그리고 원격지와 연결하여 애플리케이션을 설치한다. 해당 앱은 외부저장소의 ‘/dcloud_ad/apk/[시스템 시간].apk’ 경로에 저장된다. 현 분석 시점에는.. 2023. 3. 29. 보안 소프트웨어를 위장한 악성 앱 최근 해외의 보안 소프트웨어의 이름으로 유포된 악성 앱이 발견되었다. 해당 앱은 단말기에서 나타나는 알림을 탐지하여, 수신되는 SMS 문자메시지 및 Gmail 등의 정보를 탈취하고, 단말기에 설치된 애플리케이션의 정보를 탈취한다. 그 외에도 특정 번호로 전화를 거는 등의 동작을 수행한다. 하단 좌측 그림과 같이 악성 앱은 ‘AVG Antivirus Securite’ 라는 이름으로 유포되었다. 하지만 해당 앱이 실행되면, 하단 우측 그림의 빨간 상자와 같이 ‘Youtube’로 아이콘과 이름이 변경된다. 다음 코드에서 보이는 것과 같이, 악성 앱은 필요한 권한을 획득하기 위해 접근성 노드 정보에 대해 허용의 버튼을 임의로 클릭한다. 그 외에도 사용자의 눈에 띄지 않기 위해서, 알람과 같은 시스템 알림의 소리.. 2023. 3. 15. 소스 코드가 공개된 CypherRAT 작년 10월경, SpyNote 또는 SpyMax 로 알려진 정보탈취형 안드로이드 악성 앱의 변종인 CypherRAT 의 소스 코드가 Github 에 공개되었다. 소스 코드가 공개되어 CypherRAT 을 활용한 캠페인이 활발짐에 따라 사용자의 주의가 필요하다. CypherRAT 은 앱을 최초 실행하면 사용자에게 과도한 접근성 서비스 권한을 요청하도록 유도하는 웹뷰를 출력한다. 악성 앱이 요청하는 접근성 서비스 권한에는 행위 모니터링, 제스처 수행, 등이 포함되며 이를 이용하여 정보 탈취, 단말기 조작을 수행할 수 있다. CypherRAT 은 일반적인 안드로이드 악성 앱과 마찬가지로 통화 내역, SMS, 위치 정보, 연락처, 등의 개인 정보를 수집하는 정보 탈취 기능을 가진다. 또한 카메라, 미디어 관련 .. 2023. 3. 10. SSH 서버를 대상으로 공격하는 RapperBot 악성코드 IoT 장치를 대상으로 공격하는 새로운 "RapperBot" 봇넷 악성코드가 발견됐다. 해당 악성코드는 과거 소스코드가 공개된 “Mirai”를 기반으로 하고 있지만, “Mirai”에서 주로 사용하는 텔넷 자체 전파 방식이 아닌 SSH를 활용한 전파 방식을사용한다. 이 과정에서 SSH 서버를 스캔하고 자격 증명을 무작위로 입력해 접근 권한을 획득한 후, “RapperBot”을 감염한다. 이후 감염된 장치에서 실행된 악성코드는 공격자의 C&C 서버에서 받은 명령에 따라 DDoS 공격을 수행한다. 자가 삭제 먼저, “RapperBot”을 실행하면 unlink 함수를 사용해 실행한 파일을 자가 삭제한다. 와치독 타이머 초기화 - 재부팅 방지 그 다음, IoT 장비에서 의도하지 않은 무한 루프 등의 오작동을 탐지.. 2022. 12. 27. 이전 1 ··· 10 11 12 13 14 15 16 ··· 148 다음
