1. 개요

- 보안 업체 Kaspersky, 새로운 보안 도구 KVRT (Kaspersky Virus Removal Tool) 무료 공개
- 리눅스 플랫폼에서 바이러스를 찾아 삭제하는 기능 제공

 

2. 주요내용

- 최근 XZ Utils라는 백도어가 리눅스 생태계를 크게 위협
> Linux 시스템이 본질적으로 위협으로부터 안전하다는 일반적인 오해를 증명 

 

- Kaspersky, 새로운 보안 도구 KVRT 무료 공개
> 실시간으로 멀웨어를 막아내는 도구는 아님
> 64비트 시스템만 지원하며 작동하려면 인터넷 연결이 필요
> 실행을 위해 루트 권한 필요하며, GUI, CLI 지원
스캔을 통해 이미 세상에 알려진 멀웨어나 익스플로잇을 탐지 및 치료
사용자는 매번 바이러스 백신 데이터베이스를 다운로드해야 함
삭제 또는 치료된 악성 파일의 복사본은  '/var/opt/KVRT2024_Data/Quarantine'(루트 사용자용)에 저장
> Linux 배포판, Red Hat Enterprise Linux, CentOS, Linux Mint, Ubuntu, SUSE, openSUSE, Debian 등에서 작동 확인

 

3. 참고

[1] https://www.boannews.com/media/view.asp?idx=130306&page=1&kind=1
[2] https://www.bleepingcomputer.com/news/software/kaspersky-releases-free-tool-that-scans-linux-for-known-threats/
[3] https://www.kaspersky.com/blog/kvrt-for-linux/51375/
[4] https://www.kaspersky.com/downloads/free-virus-removal-tool

요약 - 이번 달 MITRE는 ATT&CK 프레임워크에 두 가지 테크닉을 추가할 예정
- 북한이 즐겨 사용하고 있는 공격 전략인 TCC 악용과 팬텀 DLL 하이재킹
내용 - 북한의 해커들은 두 가지 공격 기법을 활용
> 맥OS와 윈도 환경에 불법적으로 접근 및 권한 탈취
> 이후 피해자를 염탐하여 정보 수집 등 필요한 악성 행위 실시

① 맥OS 대상: TCC 악용
- TCC는 일종의 데이터베이스 
> 사용자 층위의 데이터베이스: ‘전체 디스크 접근 권한(FDA)’ 혹은 그에 준하는 권한을 가지고 있어야 TCC에 접근가능
> 시스템 층위의 데이터베이스: ‘시스템 무결성 보호(SIP)’라는 기능을 통해 제어가 가능
> TCC에 접근하려면 FDA나 SIP 혹은 그에 상당하는 높은 수준의 권한을 가지고 있어야 한다는 뜻

- 그러나, 권한을 무시하고 접근할 수 있게 해 주는 방법들이 존재
> SIP의 경우 공격자들이 피해자의 시스템에 침투하여 다른 공격 기법을 통해 비활성화시킬 수 있음
> 스스로에게 FDA 권한을 줄 수도 있음

- TCC를 겨냥한 멀웨어들이 이미 다크웹에 여럿 존재
> 가장 중요한 건 SIP를 항상 활성화시켜두는 것이라고 강조

② 윈도우 대상: 팬텀 DLL 하이재킹 (Phantom DLL Hijacking)
- 윈도는 실존하지 않는 DLL 파일들을 자꾸만 참조하는 이상한 오류 존재
> 프로젝트를 위해 생성한 DLL을 프로젝트 종료 후 DLL을 전부 삭제하지 못하는 등의 경우 발생
> 윈도는 참조하는데 정작 존재하지는 않는 DLL 파일들을 ‘팬텀 DLL 파일(유령 DLL 파일)’이라고 부름

- 공격자 악용 방식
> 자신들의 목적에 맞는 악성 DLL 파일을 임의로 생성
> 윈도가 참조하고 있는 유령 DLL 파일과 똑같은 이름으로 설정
> 그 DLL 파일과 같은 위치에 옮겨두면 OS가 알아서 로딩
> 윈도가 참조하는 것이므로 보안 경보 울리지 않음

- MS가 직접 윈도의 ‘유령 DLL 참조 현상’을 제거해야 한다고 강조
> 그 전까지 윈도 사용자들은 모니터링을 철저히 수행할 필요
> 애플리케이션 제어도 보다 능동적으로 수행할 필요
> 원격에서 DLL을 로딩시키는 것 또한 차단할 필요
기타 - 라자루스 멀웨어 전략
> TCC 데이터베이스의 접근 테이블을 덤핑하는 기능과 SIP 비활성화 기능 포함
> IKEEXT와 같이 함께 팬텀 DLL 하이재킹 기능 구현: IKEEXT 실행 후 존재하지 않는 DLL 로딩 시도

 

보안뉴스

 

북한이 최근 사용하는 공격 전략, 조만간 마이터 서브테크닉에 추가된다

이번 달 마이터(MITRE)는 어택(ATT&CK) 프레임워크에 두 가지 테크닉을 추가할 예정이다. 이 두 테크닉 모두 북한의 해킹 조직들이 이미 즐겨 사용하고 있는 것으로, 하나는 애플 맥OS 내에서 애플리

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

깃허브와 깃랩 사용하면 사실상 대처법이 전무한 피싱 공격 완성  (1) 2024.04.28
코드 서명 절차를 안전하게 유지시키기 위한 8가지 보안 전략  (0) 2024.04.17
베트남 해킹그룹 코랄레이더, 한국과 아시아 전역 금융 데이터 표적 공격중...주의  (0) 2024.04.07
회사의 보안실태와 취약점 점검 시 꼭 필요한 건 ‘소셜 엔지니어링’ 감사  (0) 2024.03.31
현재 보안 담당자들이 가장 신경 써야 할 평가 항목, MTTR  (0) 2024.03.04
요약 - 깃허브(GitHub) 생태계에서 또 다시 멀웨어 유포 시도가 발견
- 유명 보안 전문가가 개발한 개념증명용 코드로 위장하여 멀웨어 유포
내용 - GitHub 및 Twitter를 대상으로 하는 공급망 공격이 발견
> 7개의 깃허브 계정과 4개의 트위터 계정 확인
※ 깃허브 계정: AKuzmanHSCS, RSahHSCS, BAdithyaHSCS, DLandonHSCS, MHadzicHSCS, GSandersonHSCS, SSankkarHSCS
※ 트위터 계정: AKuzmanHSCS, DLandonHSCS, GSandersonHSCS, MHadzicHSCS
> 멀웨어를 Google Chrome, Signal, Microsoft Exchange Server, Discord 등의 제로데이 PoC로 속여 배포
> 배포된 멀웨어는 Windows 및 Linux에서 모두 동작
> 멀웨어 배포에 성공했는지 여부는 확실하지 않음

- 정상적인 사용자로 보이도록 하기위해 허구 정보 추가
> 존재하지 않는 보안회사 "High Sierra Cyber ​​Security"의 직원인 것처럼 가장
> 보안 전문가의 프로필 사진 도용
> 사용자들의 관심을 끌기위한 여러 태그 사용

- "Discord 0-day RCE PoC" 저장소의 poc.py 파일은 사용자 호스트 OS에 따라 다른 페이로드를 사용
> Windows인 경우 "cveswindows.zip" 파일을 다운로드
> Linux인 경우 "cveslinux.zip" 파일을 다운로드
> 각각의 파일은 VT에서 매우 높은 탐지율을 보이며, 기존에 알려진 형태의 문자열이 포함

- 현재 관련된 깃허브 및 트위터 계정은 삭제 또는 일시정지된 상태 
기타 - 깃허브는 세계 최대의 오픈 소스 코드 저장소이며 트위터 또한 다수의 사용자들을 보유
> 전문가들은 매우 정교하고 심각한 결과를 초래할 수 있는 공급망 공격이 될 수 있다고 주장

 

보안뉴스

 

제로데이 개념증명용 코드인 줄 알았는데 사실은 멀웨어

보안 외신 핵리드에 의하면 깃허브(GitHub) 생태계에서 또 다시 멀웨어 유포 시도가 발견됐다고 한다. 이번에는 유명 보안 전문가가 개발한 개념증명용 코드로 둔갑해 있는데, 이를 다운로드 받으

www.boannews.com

 

Warning: Fake GitHub Repos Delivering Malware as PoCs

Follow us on Twitter @Hackread - Facebook @ /Hackread

www.hackread.com

 

Fake Security Researcher GitHub Repositories Deliver Malicious Implant - Blog - VulnCheck

VulnCheck discovers a network of fake security researcher accounts promoting hidden malware.

vulncheck.com

 

'보안뉴스' 카테고리의 다른 글

어느 새 다크웹의 인기 아이템이 된 챗GPT 크리덴셜, 정보 탈취 멀웨어가 문제  (0) 2023.06.22
MS, “6월초 있었던 아웃룩/클라우드 기능 장애는 사이버 공격에 의한 것” 외 3건  (0) 2023.06.19
사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들  (0) 2023.06.13
PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만  (0) 2023.06.06
과기정통부, 소프트웨어(SW) 공급망 공격 대응방안 마련한다!  (0) 2023.06.04
요약 - 2022년 한 해 동안 발생한 모든 사이버 공격의 71%가 멀웨어 없이 발생
내용 - 보안 업체 크라우드스트라이크 CEO 조지 커츠의 RSAC 강연
① 공격자들이 얼마나 쉽게 기업 네트워크에 침투하고 횡적으로 움직이는지를 선보임
- 침투하고, 횡적으로 움직이고, 계속 네트워크에 남아서 필요한 일들을 하는데 아무런 경보도 울리지 않고, 흔적도 남지 않음을 계속해서 강조
- 보이지도 않고 느껴지지 않는 건 멀웨어를 사용하지 않기 때문

② 사이버 공격 단체 스파이더(Spider)
- 피해자가 보유하고 있는 도구들을 상황에 맞게 활용하여 목적을 달성
- 피해자의 도구를 사용하기 때문에, 경보나 흔적이 발생하지 않음

③ 스파이더의 공격 방식 예시
- 공격을 실시하기 전에 제일 먼저 표적에 대한 강도 높은 정찰을 진행 후 특정 사용자를 공격 대상으로 지정
- 특정 사용자에게 음성 통화로 크리덴셜 침해를 알리고, 악성 링크를 전송해 크리덴셜과 다중인증 정보 입력 요구
- 테일즈(Tails) OS와 이블징크스2(Evilginx2)라는 도구를 활용해 애니데스크(AnyDesk) 계정 생성 및 접근
> 테일즈 OS: 익명성과 프라이버시를 위한 데비안 기반의 운영 체제, 모든 통신을 Tor 네트워크를 통해서 수행
> 이블징크스2: 세션 쿠키와 함께 로그인 자격 증명을 피싱하는 데 사용되는 중간자 공격 프레임워크
> 애니데스크: 컴퓨터 원격 제어 프로그램
- 디지털오션 드롭릿(DigitalOcean Droplet)과 같은 도구를 일종의 가상기계처럼 활용하기도 함
> 디지털오션: 미국의 클라우드 컴퓨팅/호스팅업체 및 플랫폼
- 따라서, ‘정상 도구’ 혹은 ‘피해자가 이미 설치해 사용하고 있는 도구’를 적극 활용함으로써 ‘지속적인 출입이 가능한 주체’가 되는 것

④ 네트워크 관리자나 보안 담당자들이 흔히 하는 큰 오해
- 공격자가 네트워크에 접속해 새로운 사용자 계정을 생성 할 때, 반드시 관리자 권한을 가지고 있어야 한다는 것
> 권한이라는 것을 위임할 수 있기 때문에, 관리자 권한 없이도 공격자가 새로운 사용자 계정을 생성할 수 있음
> 예를 들어 고객 관리 시스템에서는 권한을 양도하거나 열어두는 경우가 비일비재하기 때문

⑤ 멀웨어 없는 공격의 핵심은 공격자가 피해자의 네트워크에 침입한 사실을 탐지하는 것이 어렵다는 것
- 멀웨어가 없기 때문에 엔드포인트의 탐지 도구 또는 최신 멀웨어 탐지 도구 등을 사용해도 소용 없음
- 대신 엔드포인트에서부터 클라우드와 관리자 아이덴티티에 이르기까지 가능한 모든 텔레메트리 정보를 수집
> 멀웨어 탐지로는 찾을 수 없는 것들이 확인될 것
> 방대한 양의 정보를 수집하고 분석하기에 업무량이 지나치게 늘어난다는 문제가 있음
> 그러므로, 인공지능이나 머신러닝을 기반으로 한 도구를 활용
- 다중인증 시스템을 유지하는 게 중요
> 다중인증 또한 탈취 등의 문제가 자주 발생하나, 다중인증을 유지하는 것은 필수적인 일
> 그만큼, 공격자들 또한 투자해야 할 자원과 시간을 늘리는 것이기 때문
기타 - 좋은 ‘보안 실천 사항’ 대부분 공격을 100% 막아준다는 면에서 의미를 갖는 게 아님
> 공격자들을 지연시키고 자원을 낭비시키는 것
> 그룹 전체가 '보안 실천 사항'을 준수하면 공격자들의 움직임은 크게 위축될 것

 

보안뉴스

 

멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술

아무런 흔적도 남기지 않고, 아무런 소란도 떨지 않으면서 침투할 곳은 다 침투해 훔쳐갈 것을 다 훔쳐가는 데에 공격자들이 점점 능숙해지는 중이다. 이들은 보이지도 않고 느껴지지도 않는다.

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

오늘은 ‘세계 패스워드의 날’... 하지만 패스워드 관리는 여전히 ‘허술’  (0) 2023.05.05
챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT  (1) 2023.05.05
엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼  (0) 2023.04.22
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공  (0) 2023.04.06
요약 - 데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공
- 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드
내용 - 보안 업체 맥아피(McAfee)가 발견한 이 멀웨어의 이름은 골도슨(Goldoson)
> 엘포인트, 롯데시네마, 곰 등을 감염시킴
> 해당 앱들은 구글 플레이에서는 1억 회 이상, 원스토어에서는 800만 회 이상 다운로드 된 것으로 조사

- 맥아피는 발견 직후 곧바로 구글에 연락을 했고, 구글은 앱 개발사에 연락해 취약점을 제거하라는 요청문 발송
> 일부 앱들은 구글 플레이에서 곧바로 삭제되었으며, 개발사에서 발 빠르게 대처해 취약점이 수정된 경우도 있음
> 맥아피는 문제가 됐던 모든 앱들을 공개하며 사용자들에게 “최대한 빨리 업데이트 하라”고 권고

- 골도슨의 작동 방식
① 장비를 감염시킨 후 곧바로 공격자들의 C&C 서버에 등록
② 원격에 저장되어 있는 설정 파일들을 다운로드_화면에서는 앱이 정상적으로 실행
> 라이브러리 이름과 원격 서버 도메인을 매번 바꾸기 때문에 잘 탐지되지 않음
③ 다운로드한 설정 파일에는 감염시킨 앱의 기능에 적용될 매개변수들이 저장
> 관련된 요소들이 어떤 주기로 실행될 지가 결정
> 원격에서 매개변수 수정 가능
④ 이 설정 파일들을 바탕으로 주기적으로 장비를 확인하고 정보를 빼돌려 이틀에 한 번꼴로 C2로 전송
> 정보를 수집할 수 있는 건 QUERY_ALL_PACKGES라는 권한 허용 설정 때문
> 설치될 당시 이 권한을 요청하며, 사용자는 통상적으로 권한을 허용
> 사용자의 위치, 스토리지, 카메라, 와이파이, 블루투스 등에 접근

- 골도슨은 사용자 모르게 웹 페이지들을 로딩하는 기능도 있음
> 기능을 활용할 경우 특정 광고의 조회수를 부풀릴 수 있게 되며, 이를 통해 부당한 수익 창출
기타 - 서드파티 요소나 오픈소스 요소들을 통한 멀웨어 유포가 얼마나 효과적인지 증명
> 개발자들은 소프트웨어를 만드는 과정에서 서드파티 코드나 라이브러리를 적잖이 사용
> 적절한 검사를 제대로 하지 않고 기능성만 고려하는 경우가 대부분

- 보안 업체 짐페리움(Zimperium)의 부회장 컨 스미스(Kern Smith)
> 개발자 편에서의 꼼꼼한 서드파티 요소의 점검을 진행 필요 주장
> 모든 개발자와 개발사들이 보다 투명하게 소프트웨어 구성 요소들을 공개하고 공유 주장

- 골드슨 도메인 및 감염 앱 확인은 아래 보안뉴스 참고

 

보안뉴스

 

엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼

데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공했다. 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드 됐다

www.boannews.com

 

Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps in South Korea | McAfee Blog

Authored by SangRyol Ryu McAfee’s Mobile Research Team discovered a software library we’ve named Goldoson, which collects lists of applications installed,

www.mcafee.com

'보안뉴스' 카테고리의 다른 글

챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT  (1) 2023.05.05
멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술  (0) 2023.05.03
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공  (0) 2023.04.06
마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
요약 - 챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 전문가 발표
> 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없음
> 챗GPT에는 악의적인 활용을 차단하는 보호 기능이 탑재되어 있으나, 우회하는 방법들이 등장 중
내용 - 해당 전문가는 과거에 멀웨어를 개발해 본 경험이 전무하며, 멀웨어를 만들 때에 단 한 줄의 코드도 스스로 작성하지 않았음
> 챗GPT로 간단한 명령 실행문을 여러 개 작성 후 하나로 합침

-특정 문서를 자동으로 검색해 찾아내고, 찾아낸 문서들을 잘게 쪼개 이미지 파일에 삽입하여 구글 드라이브로 업로드 하는 멀웨어
> 4시간만에 멀웨어를 완성하고 바이러스토탈에서 탐지되지 않는 것을 확인

- 다음 사유로인해 연구 결과를 발표
> ChatGPT가 마련한 악용 방지 보호장치를 우회하는 것이 얼마나 쉬운지
> 코드를 작성하지 않고 ChatGPT만 사용하여 고급 악성코드를 생성하는 것이 얼마나 쉬운지

- 멀웨어 작성 과정
① 최초 멀웨어 생성 요청에는 ChatGPT 거절

② 로컬 디스크에서 5MB보다 큰 PNG 파일을 검색하는 코드를 만들어달라 요청

③ 발견된 PNG 파일들에 스테가노그래피 기법을 덧입히는 코드 요청

④ 내문서, Desktop 및 AppData 폴더에서 워드 문서와 PDF 문서를 검색해 찾는 코드 요청
> 유출할 문서를 찾기위한 목적

⑤ 유출된 파일을 구글 드라이브에 업로드하기 위한 코드 요청
> 구글 도메인의 경우 대부분의 기업이 신뢰하기 때문

⑥ 1MB보다 큰 파일의 경우 분해해 PNG 스테가노그래피 파일에 삽입하는 코드 요청

⑦ 테스트 결과 정상 동작 확인

- 생성된 멀웨어가 바이러스토탈에서 탐지되는지 확인
> 테스트 1: 5/60 Malicious - 스테가노그래피 관련 라이브러리를 변경 진행
> 테스트 2: 2/60 Malicious - 추가적인 작업 진행
> 테스트 3: 0/60 Malicious
기타 - 이번 작업을 진행하면서 걱정되는 점
> 인공지능을 기반으로 한 챗봇은 난독화의 목적을 스스로 이해하고 있는 것처럼 보임
> 탐지 우회와 관련된 내용을 구체적으로 요청하거나 언급하지 않았는데도, 탐지가 되지 않는 방법을 스스로 찾음

- 챗GPT를 둘러싼 각종 보안 연구가 현재 활발히 진행 중
> 현재 보안 업계에서는 챗GPT가 피싱 공격을 매우 효과적으로 바꿔준다는 데에 동의
> 하지만, 챗GPT가 멀웨어를 만들어준다거나 새로운 익스플로잇을 발견해낼 수 있다는 것에 대해서는 분석이 더 필요

- 멀웨어 전문가들은 챗GPT를 통해 화면 보호기 파일을 생성한 후 실행파일을 삽입하는 실험을 진행
> 챗GPT에 매일 기업에서 사용하는 애플리케이션들의 쉬운 활용법을 안내하기 위한 작업으로 입력
> 챗GPT는 아주 상세하게 SCR 파일(화면 보호기 파일)에 어떻게 실행파일을 삽입하고 자동으로 실행시키는지 답변

 

보안뉴스

 

챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공

챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 보안 전문가가 발표했다. 이 멀웨어는 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없다고 한다. 챗G

www.boannews.com

 

I built a Zero Day with undetectable exfiltration using only ChatGPT prompts

ChatGPT is a powerful artificial intelligence language model that can generate human-like text in response to prompts, making it a useful tool for various natural language processing tasks. As I mentioned earlier, one of these tasks is writing code. So, I

www.forcepoint.com

 

'보안뉴스' 카테고리의 다른 글

엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼  (0) 2023.04.22
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건  (0) 2023.03.15
앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니  (0) 2023.03.06

- 2018년부터 꾸준한 활동을 유지하던 아마디 봇이 최근 업그레이드됨

아마디 봇 2018년 발견
데이터를 훔치는 것이 주 목적
다운로드 및 설치 기능_다른 멀웨어와 악성 페이로드 유포에 사용(갠드크랩 랜섬웨어, 플로드애미 RAT 등)
공격절차 - 과거에는 폴아웃, 리그 익스플로잇 킷이나 정보 탈취형 멀웨어(애조럴트)를 통해 유포
- 최근에는 드롭퍼(스모크로더)를 통해 유포

- 스모크로더를 소프트웨어 크랙으로 위장하여 사용자들의 다운을 유도
- 다운 후 실행 시 스모크로더 실행, explorer.exe에 악성 페이로드 주입
- 감염된 프로세스를 통해 아마디 봇 다운, 시작 프로그램 폴더에 위치+스케줄러 등록=공격 지속성 확보
- 아마디 봇은 C&C 서버에 접속 후 플러그인 다운_해당 플러그인을 이용해 시스템 정보 획득
  수집하는 시스템 정보 : 컴퓨터 이름, 사용자 이름, OS 정보, 설치된 애플리케이션, 백신 정보 등
특징 <추가된 기능>
- 14개 회사에서 만든 백신을 찾아 우회하는 기능
- 스케줄러를 통해 공격 지속성 확보
- 보다 많은 정보 수집
- UAC 우회
- 다른 멀웨어 다운로드

 

- 보안뉴스

 

아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게

지난 2년 동안 활발하게 활동했던 멀웨어인 아마디 봇(Amadey Bot)의 변종이 새로운 기능을 탑재하여 나타났다. 이 때문에 아마디 봇은 이전보다 더 은밀하고, 더 집요하며, 훨씬 더 위험한 멀웨어

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어  (0) 2022.07.16

- 하바나크립트(HavanaCrypt)라는 구글 소프트웨어 업데이트(Google Software Update) 애플리케이션으로 위장

  C&C 서버는 마이크로소프트 웹(Microsoft Web) 호스팅 IP 주소 하나에 호스팅

  *피해자들에게 전달되는 피싱메일은 없어, 하나바크립트가 현재도 한창 개발되는 중에 있다는 분석

 

<하바나 크립트 특징>

1) 가상 환경인지 아닌지 먼저 확인하는 기능
2) 암호화 단계에서 오픈소스 키 관리 프로그램인 키패스 패스워드 세이프(KeePass Password Safe)의 코드 일부를 사용
3) QueueUserWorkItem이라는 닷넷(.NET) 함수를 활용해 암호화 속도 높이기

- 과거에는 대부분 어도비의 플래시(Flash)가 거의 대부분 이었으며, 이에 어도비는 플래시의 개발을 완전히 종료 조치
  이후 각종 브라우저들의 가짜 업데이트가 유포되기 시작했다.

  모든 종류의 멀웨어들을 이런 식으로 포장하여 유포하는데, 랜섬웨어, 정보 탈취 멀웨어, 트로이목마 등 종류도 다양하다.

 

- 하바나크립트

1. 닷넷 기반 멀웨어이며, 오픈소스 옵퓨스카를 이용해 코드를 숨김

2. 피해자 시스템 설치 후 구글업데이트 레지스트리 존재 유무 확인 후 해당 레지스트리가 없을 때 동작

3. VM웨어와 가상머신와 관련된 요소(vm마우스, 관련 파일 및 파일명 등) 확인 후 이중 하나라도 해당할 경우 동작 중지

    즉, 가상환경이 아닌 환경에서 동작하기 위한 과정이다.

4. C&C 서버와 통신(배치 파일 다운 및 실행)

    C2 서버는 정상적인 MS 웹 호스팅 서비스에 호스팅

    배치 파일은 윈도 디펜더 설정 명령, 프로세스 중단 명령 등이 포함되어 있다.

5. 감염시킨 시스템으로부터 셰도우 복사본 삭제, 데이터 복구 기능 중지, 시스템 정보 수집

6. QuereUserWorkItem함수와 코드를 키패스 패스워드 세이프(KeePass Password Safe)로부터 가져와 암호화 실시 

 

- 보안뉴스

 

마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어

점점 더 많은 위협 행위자들이 가짜 마이크로소프트와 구글 소프트웨어 업데이트를 활용해 멀웨어를 퍼트리고 있다. 이런 멀웨어들 가운데 최근 하바나크립트(HavanaCrypt)라는 랜섬웨어가 눈에

www.boannews.com

'보안뉴스' 카테고리의 다른 글

[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26
폴리나 취약점 익스플로잇 후 로제나 백도어 설치  (0) 2022.07.12

+ Recent posts

티스토리툴바