전체 글 (136) 썸네일형 리스트형 69. Kimsuky's lnk malware attack method 최근 Kimsuky 그룹은 lnk 파일을 적극 활용하여 악성코드를 유포하고 있다. 사용되는 악성코드들은 보통 10메가 ~ 50메가 이상의 lnk 파일로 구성되고 내부적으로 파워쉘, 실행 bat, 위장 문서 파일의 내용을 포함하고 있다. (이외 부분들은 모두 더미 값이다.) 해당 악성코드 유포 방법에 대해 전체적인 도식도를 본 글에 기재한다. 피해자가 lnk 파일을 실행할 경우, lnk 파일 내부에 존재하는 파워쉘 코드, bat 파일이 각각 생성된다. 동시에 각기 실행되며 파워쉘 코드 및 bat 파일을 이용해 lnk 파일 내부 값을 파싱해 위장 문서 생성, dropbox 등 cloud 저장소 서비스를 이용해 RAT 악성코드 등 추가 악성코드를 피해자 PC에 다운로드하고 실행한다. 추가 악성코드로 탈취한 피.. 68. Kimsuky Correlation (Disguised Korean Public Institution) 얼마 전, Kimsuky 그룹이 한국 공공 기관을 사칭한 형태로 악성코드를 유포하는 것이 확인되었다. 해당 유포와 관련하여 안랩측에서 보고서를 작성해 공개하기도 하였으며 위협 지표를 공유하는 사이트에 관련 지표들이 공유되기도 하였다. https://asec.ahnlab.com/ko/62117/ 국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC BLOG AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그 asec.ahnlab.com 관련해서 개인적으로 운영하고 있는 MISP(Malware.. 12. Tor 주소 추적 보호되어 있는 글입니다. 11. LOTL (Living Off The Land) 최근 악성코드 유포나 위협 공격 등에 LOTL (Living Off The Land) 라는 개념이 자주 사용된다. 해당 개념은 "정상적인 파일/도구를 이용한 악성 행위 수행"을 의미한다. 예를 들어, 정상적인 윈도우 실행 도구(파워쉘, cmd 등)을 이용해 악성 행위를 수행하는 스크립트나 파일을 실행하는 등을 말한다. 이와 관련해 CISA 측에서 대응 방안을 발표하였다. 전체 내용은 아래 URL을 통해 확인할 수 있다. https://www.cisa.gov/resources-tools/resources/identifying-and-mitigating-living-land-techniques Identifying and Mitigating Living Off the Land Techniques | CISA.. 67. Xworm V5.2 얼마 전, Xworm V5.2 가 유포된 것이 ITW 상 포착되었다. 분석하기에 재밌어 보여 해당 악성코드에 대해 분석해보았다. * sha256 : 5ce080055262bb21798a99e83d370fab41b809ebd8d59bc083bdac2a49b2427e 기본적으로 해당 샘플은 .NET 악성코드이다. 내부를 살펴보면 "Fluxsus V8" 이라는 이름을 가지고 있는데, 해당 이름은 로블록스 구동에 필요한 소프트웨어인 "Fluxus" 를 위장한 것으로 보여진다. 해당 악성코드는 실행 시 중복 방지를 위해 뮤텍스를 생성한 뒤, 파일 내부의 일부 값을 추출해 새로운 실행 파일들을 생성한다. 총 4개의 추가 파일을 생성한다. 이 중 하나는 "schtasks.exe" 파일명을 가지고 생성된다. 탐지 회피.. 66. BianLian ransomware 최근 BianLian 랜섬웨어가 활발하게 활동중이다. lockbit, play 랜섬웨어등과 함께 일주일에 최소 2개 이상 감염을 일으키고 있는 것으로 보인다. 본 글에서는 해당 랜섬웨어 대해 분석한다. * sha256 : eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2 아래 도식도는 BianLian 랜섬웨어의 수행을 나타낸다. BianLian 랜섬웨어는 RDP를 통해 피해자 PC에 접근하며 피해자 PC에 접근하면 데이터를 탈취하고 해당 데이터를 C2로 전송하는 것으로 보여진다. 이후 BianLian을 실행해 피해자 PC의 파일들을 암호화한다. BianLian 랜섬웨어는 Go 언어로 제작되었다. 해당 파일은 1.15.0 이상의 Go 언어로.. 65. Kimsuky's 트레이딩 스파르타코스 강의안-100불남(2차) 얼마 전, VirusTotal에 업로드 된 트레이딩 스파르타코스 강의안-100불남(2차) 라는 이름의 악성코드를 발견하였다. 해당 악성코드는 Kimsuky 그룹에서 유포한 것으로 보여진다. 또한 해당 악성코드는 lnk 파일로 바로가기 형태를 띄는데, 피해자에게는 pdf 파일로 위장하기 위하여서 .pdf.lnk 형태의 확장자를 사용하고 있다. * sha256: 265b69033cea7a9f8214a34cd9b17912909af46c7a47395dd7bb893a24507e59 해당 악성코드는 cmd로 바로가기 연결되어있다. 내부에는 powershell 코드를 포함하고 있어, cmd를 통해 powershell을 실행시킨다. 해당 powershell 코드는 dropbox api를 통해 로그인 및 파일을 다운로드.. 64. No-Justice Wiper 2024년 1월 6일, 아래와 같은 기사를 접했다. 오랜만에 Wiper 악성코드를 보기도 했고, 이란측 공격자들의 악성코드도 오랜만에 분석해보고 싶어서 해당 악성코드를 분석해봤다. https://thehackernews.com/2024/01/pro-iranian-hacker-group-targeting.html Pro-Iranian Hacker Group Targeting Albania with No-Justice Wiper Malware A new wave of cyber attacks in Albania, orchestrated by an Iranian group, uses a destructive malware named No-Justice. thehackernews.com * sha256 : 36.. 이전 1 2 3 4 ··· 17 다음
