최근 깃허브(Github)에서 솔루션 파일(.sln)로 위장한 RAT 툴이 유포 중인 것이 확인되었다. 안랩의 ASEC에 따르면 유포자가 "Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022"라는 제목으로 위장하여 툴을 유포하고 있다고 밝혔다. 위장된 파일의 구성이 정상적인 것처럼 보이나, 솔루션파일만이 RAT 툴이다. 사용자가 솔루션파일을 실행하는 것을 유도하는 것. [악성코드 파일 분석] - 파일유형은 화면보호기(screen Saver)로, Windows 환경에서 화면보호기 파일은 실행이 가능한 확장자이기에 실행 시 악성코드에 감염됨. - 파일 진단을 우회하기 위해 파일 외형을 변경시키는 crypter tool을 사용 - 파일 실행 시 합법..

최근 안랩에서 윈도우 정품 인증 툴로 위장한 BitRat과 XMRig 코인 마이너가 유포되고 있다고 밝혔다. 이전에도 웹하드 통해 유포된 적 있으나, 이번에 달라진 점은 백신 설치 유무에 따라 설치되는 방식이 달라졌다는 것. - V3가 설치되지 않은 환경에서는 BitRat 원격제어 툴이 설치. - V3가 설치된 환경에서는 코인 마이너를 설치 현재 미디어파이어(MidiaFire)라는 파일 호스팅 사이트에 KMS tools로 위장한 압축파일 형태로 업로드되어있다. 게다가.. 해당 링크가 국내 여러 커뮤니티 사이트에 공유되었기에 감염자가 속출할 것으로 보임. [악성코드 간단 분석] - 압축 해제 시 exe 확장자를 가진 실행 압축 파일(7z SFX) - 실행하는 것만으로 공격자가 원하는 경로 내에 실행압축 파..

뒷문 is 백도어 보안 회사 SEKOIA와 트렌드 마이크로 보고서에 따르면, 중국의 해커 그룹 Lucky Mouse이 새로운 악성 캠페인을 통해 주요 OS 사용자를 노리고 있다고 한다. (Windows, ,Linux, macOS) Lucky Mouse는 APT27, Bronze Union, Emissary Panda, Iron Tiger, Goblin Panda등의 이름으로 불려지는 해커 그룹으로, 중국과 연계된 정치 및 군사 정보 수집 목표를 추구한다. 해당 보안 이슈의 감염망은 Windows operating system용 HyperBro 멀웨어와 Lunux 및 macOS용 rshell를 다운로드 및 설치 시키기 위해 MiMi Chat이라는 채팅 앱을 이용한다. ＃rshell: 일반적인 백도어의 부가..

한국인터넷진흥원에서 2021년에 발표한 "악성코드 특징정보"에 이어, 올 해 "인공지능 보안 기술에 활용할 수 있는 악성 앱 특징정보"를 공개한다고 밝혔다. 이는 스미싱 등 모바일 범죄에 사용되는 약 1만개의 안드로이드 악성 어플리케이션을 분석하여 특징을 정리한 것이다. KISA는 다양한 보안기관, 사이버 위협 인텔리전스를 통해 지금까지 수집 및 축적된 공통적인 특징정보를 선별했다. [악성 앱 특징 정보 항목] - 메타데이터(Metadata): 파일의 일반 속성 - 네트워크(Network): 통신 - ATT&CK Matrix: 악성 APP 관련 공격 전략 및 기술 - Dynamic Info: 파일의 동적 행위 및 정보 - Static Info: 파일의 정적 행위 및 정보 - ETC(외 부가데이터) 위와 ..

Dreamhack ReversingCource #2 정적 분석(Static Analysis) 악성 프로그램을 분석하여 실제로 실행하지 않고 도구에서 특징 및 특성 확인. 파일의 종류, 크기, PE 헤더 정보, imprt/export API, 디버깅 정보 등... 다양한 내용 확인함 디스어셈블러를 이용해서 내부 코드와 그 구조를 확인하는 것 분석 환경의 제약에서 비교적 자유로움. (분석을 지원하는 도구만 존재한다면) 프로그램에 난독화(Obfuscation)가 적용되면 분석에 어려움이 생길 수 있다. 다양한 동적 요소를 고려하기 어려움 Ex) IDA 동적 분석(Dynamic Analysis) 격리된 환경에서 의심 바이너리를 실행한 후 그 행위를 모니터링하는 방법 어떤 입력에 대한 개별 함수 또는 프로그램의 ..