1q

[개요] 언론[3]에 따르면 한국수력원자력에서 상반기 채용공고인 "연구ㆍ전문원 및 경력사원 선발[2]"을 미끼로 사용하여 공격자들은 금일 악성 한글파일을 유포한 정황이 포착됐습니다. (Figure 1) 4월 27일 오후 6시경 확인했을 때는 ViRobot을 제외하고는 탐지를 못하는 것을 확인했습니다. 본 게시물에서 다루는 샘플은 이전 게시물[1]과 GhostScript 취약점(CVE-2017-8291) 및 쉘코드 또한 유사했습니다. C2 서버에서 파일을 받지 못하여 추가적인 분석은 하지 못했지만 유포 전 과정까지 분석한 결과를 본 게시물에서 소개해드리겠습니다. 공격자는 실제 한국수력원자력 상반기 2020 채용공고 문서(Figure 2)와 유사하게 작성(Figure 3)을 했으며, 일부 내용은 조금 다른 ..

Microsoft 공식 홈페이지[1]에 따르면 AMSI(AntiMalware Scan Interface)는 응용 프로그램 및 서비스를 컴퓨터에있는 모든 Anti-Virus 제품과 통합 할 수있는 다목적 인터페이스 표준이다. AMSI 기능은 Windows 10의 아래 구성 요소에 통합되어 있다. User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation) PowerShell (scripts, interactive use, and dynamic code evaluation) Windows Script Host (wscript.exe and cscript.exe) JavaScript and VBScript Office VB..

4월 15일 미 국무부 외 4개 기관이 공동으로 발표한 "Guidance on the North Korean Cyber Threat"[2]에 대해 번역 및 요약을 진행하려고 합니다. 보고서에 따르면 정부기관 합동경계령은 2018년 10월 이후 처음 있는 일이며, 북한(이하 "DPRK"로 정의)의 악성 사이버 활동은 미국과 전세계의 국가를 위협하며 특히 국제금융시스템의 안정성과 통합에 상당한 위협이 된다는 내용이 주를 이뤘습니다. 또한, DPRK의 위협 정보를 제공하는 사람에게는 현상금 비슷한 최대 500만 달러(4/16 기준 원으로 환산하면 61억 3,900만 원..)를 제공한다고 보고서 마지막에 명시합니다. 그만큼 DPRK의 위협이 강력하다는 것으로 생각해볼 수 있을 것 같습니다. 미 국무부(The U..

SNS를 통해 수집된 위협정보를 공유드립니다. 다음 주 국회의원 선거가 다가오자 공격자들이 Word를 활용한 미끼 문서를 유포하고 있습니다. 현재는 공개된 C2들이 모두 단절되었거나 파일이 비어있지만 주의가 필요합니다. 이 파일과 더불어 "외교문서 관련(***국장).docx" 이라는 파일이 유포되고 있으며, C2 경로만 약간 다른 것으로 확인됐습니다. C2가 단절되어 추가 파일은 확인하지 못해서 아쉽지만, SNS에 미리 샘플을 확보하고 분석한 분들이 공개[1][2]한 IOC 정보를 하단에 공유해드리겠습니다. 실행 시 C2가 현재 단절되어 (Figure 2)와 같이 보이지만, 단절되지 않았을 경우 문서가 제대로 보일 것으로 추정됩니다. 또한, 두 파일의 이미지를 Hash 비교를 해보니 같은 것으로 확인되었..

[개요] [1] ASEC 분석팀은 "전라남도 코로나바이러스 대응 긴급 조회.hwp"로 위장한 악성 문서파일을 발견하고 패치했다. 해당 정보를 확인하고 [2] 무료 샌드박스 서비스(any.run)에서 파일을 다운로드 받아 분석을 수행하기로 했다. 해당 악성 문서파일(HWP)은 코로나19 관련 내용으로 정부기관으로 위장하여 유포한 파일이다. CVE-2017-8291 취약점을 이용해 만들어졌으며, Powershell을 이용해 C2 서버에 접근해 2차 유포 파일(EXE)을 다운로드 받은 뒤, 정보유출형 백도어 역할을 수행한다. 현재는 C2가 단절되어 Powershell에서 C2 서버에 접근하지 못하지만, 서버가 다시 살아날 수 있을 가능성도 있기에 주의가 필요하다. ※ 본 게시물에는 단계별로 한글 문서, 쉘코드..

안녕하세요. 19년도 대학원 수업에서 실습하고 발표한 자료와 실습한 동영상을 공유해드리려고 합니다. 사실, 시뮬레이션에 대해 이해를 완벽하게 하지 않은 채로 만든 작업물이며, 다른 분들이 이미 실습한 자료일 수도 있어 중복이 될 수도 있습니다. 시뮬레이션은 모델링이 매우 중요합니다. 모델링에 의해 시뮬레이션이 좌우된다고 할 수가 있어 공을 들여야 한다고 교수님께서 말씀하셨었죠. 안타깝게도.. 저는 완벽하게 이해가 되지 않아 공부가 더 필요한 것 같습니다. 실습은 Cuckoo 샌드박스 기반으로, 가상 회피 기능이 있는 악성코드(Venuslocker-랜섬웨어)를 대상으로 실험을 진행합니다. 한 쪽은 가상환경을 완화하지 않은 환경, 다른 한 쪽은 반대로 완화된 환경으로 시뮬레이션을 진행합니다. 완화 방법으로는..

안녕하세요. 19년도에 대학원 수업을 수강하면서 실습을 진행한 취약점(CVE-2018-9375)에 대해 분석 및 실습과 Mitigation에 대해 작성한 발표자료, 요약한 기술문서, 시연 동영상을 공유해드리려고 합니다. 해당 취약점은 미국 보안회사(IOActive)에서 18년 3월경 발견 및 구글에 신고했으며, 18년 6월에 구글은 해당 취약점을 패치했습니다. 해당 취약점은 사용자의 개인 사전(Personal Dictionary)이 저장되어있는 sqllite 데이터베이스에 접근하는 query(), update(), delete() 메소드에서 DB를 사용하기 전 보안 체크를 해야 하지만, 사용 후 보안 체크를 하는 루틴에 의해 이를 우회하여 실행할 수 있는 취약점입니다. 자세한 내용은 아래 첨부되는 "CV..

저자 : Chintan Shah, McAfee, India (chintan_shah@mcafee.com) Virusbulletin이 트위터에 paper를 공개했습니다. virusbulletin은 특히 악성코드 분석을 주로 수행하는 벤더에서 근무하는 연구원들이 작성한 것이라 실무적인 내용이 많다고 생각했습니다. 관심이 있어 개인 공부용 및 문서형 악성코드에 관심이 있으신 분들에게 좋은 내용일 것 같아 paper를 읽어보고 일부 원문 내용과 개인적인 의견을 작성해봤습니다. 본 포스트 내용은 논문 전체를 번역한 것이 아닌, 개인적으로 선별하여 강조한 내용입니다. 이해가 되지 않는 내용은 맨 마지막에 명시한 Reference에 명시한 원문을 읽는 것이 좋으며, 번역이 이상할 수 있습니다. Open Access ..