잉카인터넷 시큐리티대응센터 블로그

Sentinel Labs에 의해, 러시아의 군용 제조업체에 발생한 침해 공격이 북한의 소행인 것으로 밝혀졌다. 해당 공격에서 OpenCarrot 이라는 Windows 백도어를 사용하였으며, 이메일 등을 통해 유포된 것으로 전해진다. 백도어는 비정상적인 인증 과정을 통해 시스템에 접근하고, 시스템에 설치되면 다양한 악성 동작을 수행한다. OpenCarrot 백도어의 경우, 아래의 그림과 같이 복잡한 페이로드를 통해 사용자 PC에 설치된다. 해당 파일은 시스템 파일에 인젝션하여 바이너리를 다운로드하고, 다운로드된 바이너리를 통해 최종적으로 OpenCarrot 백도어가 생성된다. 해당 파일이 실행되면, 시스템 폴더에 실행 파일 중에서 UAC 권한 상승이 필요없는 파일을 대상으로 프로세스를 생성하여 코드 인젝션..

최근 한 보안프로그램을 위장한 악성 앱이 발견되었다. 해당 앱은 정상적으로 동작하는 척하지만, 특정 버튼을 누르면 내부에 존재하는 파일을 실행하여 악의적인 동작을 수행한다. 백도어와 같이 원격지와 연결하여 명령을 받아 추가적인 동작을 수행하며, 그 외에 문자메시지와 통화 기록과 같은 각종 정보를 탈취한다. 11월 24일 업데이트 버전의 정상 앱은 아래의 좌측 그림과 같고, 발견된 사칭 악성 앱은 우측 그림과 같다. 사칭한 악성 앱은 과거의 UI를 따라한 것으로 추정된다. 해당 앱은 실제로 동작하지 않고, HTML 파일을 통해 동작하는 것처럼 위장하였다. 그리고, 특정 버튼을 누르면 APK 내부에 숨겨진 APK 파일을 로드하여 악성 동작을 실행한다. 아래 좌측 그림과 같이 앱이 설치되었지만, 사용자가 보는..

"NetWire"은 백도어 악성코드로 2012년 등장한 이후 현재까지 지속적으로 유포되고 있다. 올해 발견된 유포 사례를 살펴보면 공격자는 "NetWire" 악성코드를 실행 할 수 있는 악성 파일을 제작하고, 정상 파일인 것처럼 위장하여 피싱 메일로 전달한 것으로 알려졌다. 유포된 악성 파일은 유포 시기에 따라 차이를 보이며 3월에는 악성 매크로가 삽입된 워드 문서, 6월에는 악성 스크립트가 삽입된 소프트웨어 설치 파일이 발견되었다. 만약 사용자가 첨부된 파일을 정상 파일로 착각하여 실행한다면, 첨부 파일에 삽입된 매크로 혹은 스크립트를 통해 “NetWire" 악성코드가 실행되어 파일을 조작하거나 사용자의 다양한 정보를 탈취한다. 악성 스크립트가 삽입된 가짜 소프트웨어 설치 파일 2021년 3월, 공격자..

Check Point 연구팀이 동남아시아 정보의 외무부를 타겟으로 하는 중국의 APT 그룹인 SharpPanda의 공격을 발견하였다. 해당 APT 공격은 정부기관을 사칭하여 악성 문서를 포함한 피싱 메일을 유포하였으며, 해당 문서를 실행하면 추가로 악성 문서인 RoyalRoad를 다운로드 한다. RoyalRoad 악성코드는 MS Office 취약점인 CVE-2017-11882, CVE-2018-0798 및 CVE-2018-0802를 악용한 문서로, 최종적으로 백도어를 설치하여 사용자 PC를 감시하고 민감한 데이터를 훔칠 수 있다. 사진 출처 : https://research.checkpoint.com/2021/chinese-apt-group-targets-southeast-asian-government-..

최근 침입차단시스템을 우회하기 위해 ICMP 패킷에 데이터를 추가해 공격자와 통신하는 "PingBack" 백도어 악성코드가 발견됐다. 해당 악성코드는 MSDTC 서비스가 로드하는 DLL로 위장한 후 DLL 하이재킹을 이용해 사용자의 컴퓨터에서 실행하며, 공격자는 명령어가 포함된 ICMP 패킷을 감염된 컴퓨터에 보내 악의적인 행위를 수행한다. "PingBack" 악성코드는 사용자의 컴퓨터에 백도어를 설치하기 위해 [그림 1]과 같이 MSDTC 서비스가 로드하는 "oci.dll"로 위장한다. MSDTC(Microsoft Distributed Transaction Coordinator) 서비스는 여러 시스템에 분산된 트랜잭션을 처리하기 위해 사용하며, "oci.dll"은 오라클 데이터베이스를 조작하는데 사용하..

백도어 악성코드 분석 1. 개요 백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 1.exe 파일크기 135,185 byte 진단명 Backdoor/W32.Farfli.135185 악성동작 백도어 네트워크 http://www.h*****r.com - 유포지 ..

1. 개 요 Flash Player 관련 어플리케이션으로 위장한 안드로이드용 스마트폰 악성 어플리케이션이 해외에서 발견되어 사용자들의 주의가 요망되고 있다. 해당 악성 어플리케이션은 Flash Player 와 유사한 아이콘으로 위장되어 있으며, 실행 시 별도의 실행화면은 나타나지 않고 백그라운드 상태에서 다양한 악의적 동작을 수행 시도하게 된다. 감염 시 스마트폰 단말기 정보, SMS 등의 정보가 유출될 수 있으므로 사용자 스스로 어플리케이션 다운로드 및 설치에 세심한 주의가 필요하다. 2. 유포경로 및 감염 증상 해당 악성 어플리케이션은 블랙마켓, 3rd party 마켓 등을 중심으로 유포될 수 있으며, 때에 따라서는 악성 URL 접근, 이메일의 첨부파일 형태 등으로도 다운로드 및 설치가 가능하다. ■..