잉카인터넷 시큐리티대응센터 블로그

1. 악성코드 통계 악성코드 Top20 2021년10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜)이며 총 39,999 건이 탐지되었다. 악성코드 진단 수 전월 비교 10월에는 악성코드 유형별로 9월과 비교하였을 때 Virus, Worm 및 Backdoor의 진단 수가 증가하고, Trojan 및 Exploit의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 2021년..

최근 코발트 스트라이크(Cobalt Strike)를 다운로드 받아 실행하는 "Squirrelwaffle" 악성코드가 발견됐다. 해당 악성코드는 다운로드 받은 코발트 스트라이크를 사용해 추가 파일을 다운로드 받아 사용자 정보 탈취 등의 행위를 수행한다. "Squirrelwaffle" 악성코드를 사용해 사용자 PC에서 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. 악성 문서를 실행하면 문서에 포함된 매크로를 실행해 VBS 파일과 파워쉘(PowerShell) 스크립트를 생성한다. 2. 이전 단계에서 생성한 스크립트를 실행해 공격자의 C&C 서버에서 악성코드를 다운로드 및 실행한다. 3. 다운로드한 악성코드는 최종 페이로드 다운로드를 위한 코발트 스트라이크를 다운로드 및 실행한다. 4. 코발..