Rootkit 4

ATM 데이터를 탈취하는 CAKETAP 루트킷 악성코드

최근 미국의 보안 회사 Mandiant는 ATM 데이터를 탈취하는데 사용되는 "CAKETAP" 루트킷 악성코드 분석 보고서를 발표했다. 해당 보고서에 따르면 "CAKETAP"은 공격자가 Solaris 운영체제를 사용하는 서버에 유포한 루트킷 악성코드로 알려졌다. 또한, "CAKETAP"은 자신의 네트워크 연결과 프로세스 및 파일을 숨길 수 있으며 카드 인증 메시지 조작 등의 악성 행위를 시도한다고 알렸다. Mandiant는 해당 루트킷 악성코드가 ATM의 교환 네트워크를 전송하는 메시지를 조작했으며 승인되지 않은 현금 인출을 시도하는데 활용됐다고 언급했다. 사진출처 : Mandiant 출처 [1] Mandiant (2022.03.16) – Have Your Cake and Eat it Too? An Ov..

Telegram 설치 프로그램을 위장한 PurpleFox

최근 PurpleFox가 'Telegram Desktop.exe' 라는 이름으로 유포되었다. 해당 파일은 악성 다운로더를 드롭 및 실행하여 사용자 PC에 PurpleFox를 설치한다. PurpleFox는 보안 프로그램을 탐지하고, RAT의 기능을 수행할 수 있는 것으로 알려져 있다. 유포된 PurpleFox 중에는 RootKit의 기능이 존재하는 경우도 있는 것으로 전해진다. 유포된 악성 파일은 사용자를 속이기 위해, 다운로더와 함께 Telegram 인스톨러로 보이는 파일을 함께 생성하는데 이 파일은 정상적으로 실행되지 않는다. 사진 출처: Minerva Labs 출처 [1] Minerva Labs (2022.01.06) - Malicious Telegram Installer Drops Purple Fo..

Microsoft 서명이 포함된 Netfilter에서 루트킷 악성코드 발견

G Data 악성코드 분석가인 “Karsten Hahn”에 의해 루트킷 악성코드가 포함된 Netfilter 드라이버가 발견됐다. 해당 드라이버는 주로 게임 커뮤니티를 통해 유포되었으며, Microsoft의 서명이 포함된 파일로 확인됐다. MS측의 발표 내용에 따르면 중국 IP를 사용하는 C&C 서버와 통신하는 것으로 밝혀졌으며 해당 서버는 미국 국방부가 “Community Chinese Military” 라고 표기한 사이버 공격 그룹에 속하는 것으로 알려졌다. MS는 드라이버 제조 업체인 “Ningbo Zhuo Zhi Innovation Network Technology”와 협력하여 관련 내용을 패치 했으며 Windows Update를 통해 악성코드가 포함되지 않은 드라이버를 얻을 수 있다고 발표했다. ..

[악성코드 분석] 악성코드 접근을 숨겨주는 포트 루트킷 분석

악성코드 접근을 숨겨주는 포트 루트킷 1. 개요 루트킷(Rootkit)의 의미는 본래 Unix 계열의 관리자 계정인 루트(Root) 권한을 획득하기 위한 코드와 프로그램의 집합으로 사용되었다. 하지만 최근에 루트킷이 단순히 특정 악성코드가 시스템에서 탐지되지 않도록 악용되면서 이제 개인 PC에서 루트킷의 역할은 악성코드 은닉이 주가 되었다. 본 보고서에서는 악성코드가 통신하는 포트 또는 통신 대상의 IP를 기준으로 연결 정보를 숨겨주는 루트킷을 분석하여 포트 루트킷이 동작 방식을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명SynDrives.sys파일크기3,840 byte진단명Trojan/W32.KRDDoS.3840악성동작포트 루트킷 2-2. 유포 경로SynDrives.sys는 이전에..