잉카인터넷 시큐리티대응센터 블로그

QakBot 이라고도 알려진 Qbot 은 이메일과 같은 전통적인 전파 수단뿐만 아니라, OneNote, CHM 과 같이 최신 유행하는 전파 수단을 적극적으로 활용하는 모습을 보여왔다. 최근에는 한발 더 나아가 DLL 하이재킹 기술을 통해 정상 실행 파일에 악성 DLL 을 로딩하는 공격 방식이 사용되고 있다. DLL 하이재킹 공격은 Windows OS 의 DLL 로딩 우선 순위를 이용하여, 정상 DLL 대신 동일한 이름의 악성 DLL 을 로딩하는 공격법이다. 최근 발견된 Qbot 은 정상 Wordpad 실행 파일과 악성 DLL 파일 edputil.dll 을 ZIP 으로 압축하여 유포되고 있다. 원래대로라면 Wordpad 는 시스템 폴더 내의 정상 edputil.dll 파일을 로딩해야 하나, DLL 로딩 순..

hVNC(hidden Virtual Network Computing)의 동작을 수행하는 LOBSHOT 악성코드가 최근 발견되었다. 해당 악성코드는 광고를 이용한 Malvertising 기법을 통해 유포된 것으로 전해진다. 사용자 PC에 저장된 암호화폐 지갑 등의 정보를 탈취하고, 원격지와 통신하며 hVNC 악성 동작을 수행한다. LOBSHOT은 악성동작을 수행하기 전 사전동작으로, 안티 바이러스를 탐지한다. 대상 PC의 컴퓨터 이름과 사용자 이름이 Windows Defender 가상화에서 사용하는 것과 동일하다면 프로세스를 종료한다. 그리고 자가 복제한 파일을 실행한 후, 원본을 삭제하여 탐지가 어렵도록 한다. 실행된 복제 파일은 각 종 웹 브라우저의 확장 프로그램 중 암호화폐 지갑이 사용되는지 확인하여..

최근, OneNote 문서를 악용해 악성코드를 유포하는 사례가 잇따라 발견되고 있다. 공격자들은 OneNote 문서에 악의적인 의도를 담은 파일을 첨부한 후, 문서 내부에 생성된 첨부 파일 아이콘 위에 사용자의 클릭을 유도하는 디자인 요소를 덧씌운다. 이러한 디자인 요소에는 보통 “View” 또는 “Open” 등의 버튼을 클릭하도록 유도하는 내용을 포함한다. 이후, 사용자가 첨부 파일 아이콘이 숨겨진 부분을 클릭하면 공격자의 의도대로 첨부된 파일이 실행돼 악성 행위를 수행할 수 있다. 1. 분석 OneNote 문서에 HTA 파일 또는 CMD 파일을 첨부해 악의적인 행위를 하는 두 가지 사례에 대해 설명한다. 1.1. wscript를 사용하는 경우 (HTA) OneNote 문서에 첨부한 HTA 파일은 [그..

최근 안티 바이러스 제품의 탐지를 회피할 목적으로 비주류 프로그램 언어로 작성된 악성 파일이 증가하는 추세이다. Aurora 로 알려진 인포스틸러도 이러한 부류 중 하나로, 다중 플랫폼 빌드를 지원하는 Go 언어로 작성되어 윈도우, Linux OS 를 대상으로 작성되어 퍼져나가고 있다. 윈도우 OS 를 대상으로 작성된 Aurora 가 실행되면 wmic 기능을 이용하여 시스템의 기본 정보를 수집하고, 현재 화면의 스크린샷을 찍어 저장한다. 또한 시스템을 탐색하며 브라우저, 가상화폐 지갑, 게임, 등과 관련된 애플리케이션의 설치 여부를 확인한 후, 각 애플리케이션 데이터에 저장된 개인 정보를 수집한다. 수집된 시스템 정보는 json 포맷으로 변환되어 공격자 서버로 전송된다. 정보 탈취 후에는 추가 악성 행위..

IoT 장치를 대상으로 공격하는 새로운 "RapperBot" 봇넷 악성코드가 발견됐다. 해당 악성코드는 과거 소스코드가 공개된 “Mirai”를 기반으로 하고 있지만, “Mirai”에서 주로 사용하는 텔넷 자체 전파 방식이 아닌 SSH를 활용한 전파 방식을사용한다. 이 과정에서 SSH 서버를 스캔하고 자격 증명을 무작위로 입력해 접근 권한을 획득한 후, “RapperBot”을 감염한다. 이후 감염된 장치에서 실행된 악성코드는 공격자의 C&C 서버에서 받은 명령에 따라 DDoS 공격을 수행한다. 자가 삭제 먼저, “RapperBot”을 실행하면 unlink 함수를 사용해 실행한 파일을 자가 삭제한다. 와치독 타이머 초기화 - 재부팅 방지 그 다음, IoT 장비에서 의도하지 않은 무한 루프 등의 오작동을 탐지..

지난 7월에 해킹 포럼을 통해 판매된 Typhon Stealer가 업그레이드된 모습으로 등장하였다. 최근 발견된 악성코드는 TyphonReborn 이라는 이름으로 판매되며, 텔레그램을 통해 구매가 가능하다. 해당 악성코드는 백신 프로그램 및 가상 환경과 디버깅 환경을 탐지하고, 사용자 PC의 각종 정보와 암호화페 지갑 정보를 탈취하는 등의 동작을 수행한다. 해당 악성코드는 다음의 텔레그램 채널에서 판매되고 있다. 악성 동작이 수행되기 전에 실행 환경이 가상 환경인지, 백신 프로그램이 실행 중인지, 디버깅 프로그램이 실행 중인지를 확인한다. 만약 그렇다면, 프로세스를 종료하고 실행파일을 삭제한다. 그리고 사용자 이름과 국가 정보를 획득하여 특정 대상을 제외한다. 이때 제외되는 국가의 정보는 다음과 같다. ..

최근 소프트웨어 크랙이나 치트 파일로 위장되어 “TempStealer” 정보 탈취 악성코드가 배포되고 있다. “TempStealer” 악성코드는 64비트 운영체제를 대상으로 제작되었으며 전 세계를 타겟으로 정보와 데이터를 탈취한다. 해당 악성코드는 현재 다크웹에서 15~49 달러에 판매되고 있으며 사용자의 PC에서 암호화폐 지갑, 시스템 정보, 브라우저 데이터, 소프트웨어 토큰 등을 탈취하여 공격자의 C&C 서버로 전송한다. Analysis “TempStealer”는 공격자의 C&C 서버와 연결을 시도한다. 공격자 서버에 연결이 완료되면 본격적인 정보 탈취 동작을 수행한다. 악성 파일 내부에는 타겟이 되는 암호화폐 지갑에 대한 난독화 데이터가 하드코딩되어 있다. 디코딩 이후에 확인된 타겟 암호화폐 지갑의..

과거 “Mirai”, “Qbot” 과 같은 봇넷 악성코드의 소스코드가 공개된 바 있다. 이러한 이유로 해당 악성코드들의 소스코드를 사용한 변종 악성코드들이 현재까지 지속적으로 발견되고 있다. 올해 상반기에도 “EnemyBot” 라는 악성코드가 발견 되었는데, 살펴 본 결과 해당 악성코드 또한 기존 소스코드를 사용한 것으로 확인되고 있다. 그래서 “EnemyBot” 을 비롯한 변종 악성코드들은 “Mirai”, “Qbot” 악성코드와 많은 공통점을 가지며, 실행 시 취약한 기기를 감염시켜 DDoS 공격을 수행한다. 공개된 소스코드 “EnemyBot” 악성코드는 소스코드와 함께 발견 되었는데, 게시자는 스스로를 “Kek Security” 소속의 악성코드 개발자라고 밝히고 있다. “Kek Security” 는 ..

Vmware ESXi 서버를 대상으로 파일을 암호화하는 “BlackBasta” 랜섬웨어가 발견됐다. 올해 초에 처음 등장한“BlackBasta” 랜섬웨어는 RaaS(Ransomware-as-a-Service)로 운영되고 있으며, 미국, 유럽 및 아시아 등의 기업을 대상으로 한 공격에 주로 사용됐다고 알려졌다. 또한, 최근에는 리눅스 버전을 제작해 공격 범위를 확대하고 있다. 해당 랜섬웨어의 리눅스 버전은 Vmware ESXi 서버에서 가상 머신 등의 저장 목적으로 사용하는 VMFS 데이터 저장소 경로인 ‘/vmfs/volumes’ 경로를 대상으로 암호화하며, “–forced” 인자를 사용해 암호화 경로를 지정할 수 있다. “BlackBasta” 랜섬웨어를 실행하면 ‘/vmfs/volumes’ 경로를 대상..

최근 “Magic RAT” 악성코드가 ‘VMware Horizon’ 서버의 ‘Log4j’ 취약점을 악용해 공격을 수행하는 것이 확인됐다. 해당 악성코드는 기존에 존재하던 “Tiger RAT” 악성코드의 변종이며 “Tiger RAT”의 공격자 C&C 서버 연결 인프라가 동일한 것으로 알려졌다. “Magic RAT” 악성코드는 감염된 사용자의 서버에서 스크린 샷 캡처, 키로깅 동작, 시스템 정보 수집과 같은 탈취 동작을 수행하고, 공격자의 서버에서 명령을 받아 원격으로 감염된 PC를 제어할 수 있다. 해당 악성코드에서 사용된 “VMware Horizon” 서버의 ‘log4j’ 취약점은 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하는 서비스 거부(DOS) 공격을 수행하는 취약점이다. 아래는 “M..