본문 바로가기

전체 글

(135)
47. ransomware correlation 보호되어 있는 글입니다.
46. Kimsuky's CHM 최근 Kimsuky 그룹이 위장 chm 파일을 이용하여 악성코드를 유포하고 있다. 스피어피싱 공격 기법 등과 조합하여 chm 파일을 열람하도록 유도해 RAT 악성코드 등을 유포하는 형태이다. - 관련 분석 보고서 https://blog.alyac.co.kr/4609 https://p3ngdump.tistory.com/109
45. Aukill 랜섬웨어 공격자들이 Aukill 이라는 도구를 사용해 MS Defender나 드라이버의 취약점을 통해 EDR를 회피한다는 기사를 접했다. https://thehackernews.com/2023/04/ransomware-hackers-using-aukill-tool-to.html Ransomware Hackers Using AuKill Tool to Disable EDR Software Using BYOVD Attack Ransomware attackers are utilizing a new "defense evasion tool" called AuKill to deactivate EDR software using a BYOVD attack. thehackernews.com https://www.boann..
44. Lazarus's VHD Ransomware 최근 VirusTotal에 아래 글과 관련되어 보이는 Ransomware가 다수 나타났다. https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/ Lazarus 그룹이 이용한 VHD Ransomware로 보이는데, 이와 관련해 Maltego를 이용해 관련 파일들 등의 정보를 찾아봤다. (이미 분석 글 등은 많이 공개되어 있기도 하고, 랜섬웨어이기 때문에 핵심 기능은 파일 암호화에 집중되어있어 샘플 분석 내용은 담지 않았다.) 발견한 파일 hash는 아래와 같다. - a5c073c154010ae32b0d9643b56f6cfebc7263d676b66d8efc445ccb9c22b927 - 9e671cdb8cd195ed1d994f2f3fb13cae603e..
43. 3CX Supply Chain Attack https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/ Hackers compromise 3CX desktop app in a supply chain attack A digitally signed and trojanized version of the 3CX Voice Over Internet Protocol (VOIP) desktop client is reportedly being used to target the company's customers in an ongoing supply chain attack. www.bleepingcomputer.com https:/..
42. Kimsuky's 협의 이혼 의사 확인 신청서.docx 얼마 전 "협의 이혼 의사 확인 신청서"라는 이름으로 악성코드가 유포되었다. 해당 문서는 정상적으로 위장하고 있는 악성 문서이며 실행시 피해자 PC에 추가적인 악성코드를 드롭해 원격 조종을 수행하는 것으로 밝혀졌다. 또한, 해당 악성코드는 Kimsuky 조직에 의해 유포된 것으로 나타났다. 본 글에서는 해당 악성코드를 분석한다. 먼저, 해당 악성 문서는 아래와 같이 정상적인 워드 문서로 위장하고 있다. 실행시 "콘텐츠 사용" 버튼을 유도하는 이미지가 나타난다. 해당 행위는 피해자가 콘텐츠 사용을 버튼을 누르게 함으로써 악성 문서 내에 존재하는 매크로를 실행시키기 위한 목적을 가진다. 콘텐츠 사용 버튼을 눌러 매크로를 실행시킬경우 정상적인 미끼 문서를 띄운다. 하지만 실제로는 악성 문서 내에 포함되어 있는..
41. Kimsuky's [KBS 일요진단]질문지.docx 2023년 2월경 [KBS 일요진단]질문지.docx 라는 이름으로 kimsuky의 악성코드가 유포되었다. 해당 악성코드는 정상적인 워드 문서 파일로 위장하고 있지만 Template Injection 등을 통해 내부적으로는 악성 스크립트를 다운로드 및 실행해 감염 PC의 정보들을 C2 서버로 전송하는 행위를 수행한다. 처음 파일을 열면 아래와 같이 Microsoft Office 아이콘과 함께 "콘텐츠를 불러올수 없습니다" 와 "호환성문제로 콘텐츠를 올바르게 불러올수 없습니다." 등의 문구가 존재하는 이미지를 띄운다. 해당 이미지를 통해 피해자에게 "편집 사용", "콘텐츠 사용" 버튼을 클릭하게 해 decoy 문서를 다운로드 받게 하는 목적이다. * 특이점: 해당 문서의 언어 설정값이 일본어로 되어 있다. ..
40. GuLoader 최근 보안뉴스, 해커뉴스, 시큐리티어페어즈 등 여러 매체에서 다뤄지는 악성코드이면서 드로퍼의 성격을 띄며 빠르게 퍼지고 있는 GuLoader에 대해 분석한다. 분석 환경 OS Windows 7 악성코드 해쉬 2374e67f9bafb16982479819931eeca7fcafda7dcf7248a15be29b0f061ffdc9 악성코드 종류 드로퍼 먼저, GuLoader 악성코드는 예전부터 악성코드들이 기용한 NSIS 실행 압축을 선택하고 있다. NSIS를 사용해 실행되는 이유는 백신 프로그램의 우회가 주 목적으로 생각된다. 일반적인 프로그램들도 NSIS를 사용하는 경우가 많기 때문에 백신 프로그램에서 악성코드만 골라내기 힘들기 때문이다. 본격적으로 분석을 시작해본다. NSIS 가 적용되어있기 때문에 압축을 ..