| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- SQLD
- sql
- 랜섬웨어
- 오늘의 보안
- Memory Forensics
- Volatility
- C
- ctf
- 보안
- 악성코드
- Defcon DFIR CTF 2019
- 오늘의 보안동향
- codeup
- 리버싱
- 오늘의 영어
- 보안동향
- Code Up
- 코딩
- 멀웨어
- 다운로드
- cmd
- C language
- 설치
- c언어
- defcon.mem
- 정보보안기사
- 코드업
- 리버싱 핵심원리
- DEFCON
- C 프로그래밍
- Today
- Total
목록오늘의 보안 (30)
오브의 빛나는 별
[오늘의 보안] HiddenGh0st 악성코드
- 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Hidden 루트킷을 설치하는 Gh0st RAT 변종 HiddenGh0st 유포중 - 파일 진단을 우회하기 위해 패킹된 상태로 유포하고, 파일 은폐를 위해 파일 시스템 미니 필터 드라이버 사용 - 중국어 사용자들이 주로 사용하는 QQ 메신저 정보 탈취 기능이 함께 포함된 것을 보면 중국어 사용자들을 주요 공격 대상으로 하는 것으로 추정 HiddenGh0st 악성코드: Hidden 루트킷을 설치하는 Gh0st RAT 변종 Gh0st RAT: 중국의 C. Rufus Security Team에서 개발되었으며 오픈소스로 공개된 원격 제어 악성코드 https://asec.ahnlab.com/ko/57028/ MS-SQL 서버를 공격하는 HiddenGh0st..
[오늘의 보안] BlueShell 악성코드
- 국내 기업의 윈도우 시스템 또는 태국 방송사 대상으로 BlueShell을 이용한 APT 공격 - Go 언어로 제작되었고, ReadMe 파일이 중국어인 것이 특징이며 C&C 서버와의 통신에 TLS 암호화를 지원하여 네트워크 탐지 우회 - BlueShell 악성코드인 '/tmp/kthread'를 실행한 이후에는 삭제하고 '/sbin/rpcd'로 위장 BlueShell: Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체제를 지원 Go 언어: 전통적인 컴파일, 링크 모델을 따르는 범용 프로그래밍 언어 https://asec.ahnlab.com/ko/56715/ 국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드 - ASEC BLOG BlueShell은..
[오늘의 보안] 하쿠나 마타타(Hakuna matata) 랜섬웨어
- 국내 기업 대상으로 상대적으로 최근에 제작된 하쿠나 마타타 랜섬웨어로 공격 - ClipBanker 기능이 함께 존재하는 것이 특징으로 시스템 암호화 후 공격에 사용된 악성코드와 이벤트 로그를 삭제하여 정확한 정보를 확인하기 어려움 - RDP가 최초 공격 벡터로 이용되었을 것으로 추정되고 %LOCALAPPDATA%\rundll32.exe 경로에 하쿠나 마타타를 복사하여 실행함으로써 정상 프로세스로 위장 하쿠나 마타타(Hakuna matata) 랜섬웨어: 컴퓨터에 있는 파일을 암호화하고 파일을 공개하는 대가를 요구하는 공격 유형 RDP(Remote Desktop Protocol): 원격 데스크톱 서비스, 마이크로소프트사가 개발한 사유 프로토콜로, 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜..
[오늘의 보안] Guloader 악성코드
- 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황 확인 - RAR 압축 파일 내부에 존재하고 사용자가 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드 다운로드 - 보안 제품의 시그니처 탐지 회피를 위해 Guloader와 같은 다운로더 악성코드를 유포 GuLoader: 추가 악성코드를 다운로드 하는 다운로더 형태의 악성코드 RAR(Roshal Archive Compressed): WinRAR 프로그램에서 자체적으로 제공하는 독점 압축 포맷 https://asec.ahnlab.com/ko/55865/ 세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지) - ASEC BLOG AhnLa..
[오늘의 보안] Venus 랜섬웨어
- 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 RDP를 통해 수행되고 있는 것으로 추정 - Download 폴더 내 Venus 랜섬웨어는 'bild.exe_'라는 이름으로 있고, 파일 암호화 후 '.venus' 확장자를 추가 - 바탕화면 변경 후 README 파일을 보여주며 랜섬노트 공개 Venus 랜섬웨어 : 사용자 데이터에 대한 대가로 비트 코인에서 몸값을 요구하는 또 다른 파일 잠금 멀웨어 RDP(Remote Desktop Protocol) : 원격 데스크톱 서비스 Crysis와 Venus 랜섬웨어 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구 설치 설치되는 도구들은 NirSoft 사에서 제작한 것이 특징 https://asec.ahnlab.com/ko/54767/ RDP를 통해 Ven..
- 과거, 단순하게 악성코드 실행 파일 자체를 유포했다면, 정상 파일 포함하기 시작. 최근 정상 인스톨러를 다운로드 후 실행하는 샘플 등장 - MS 공식 홈페이지로부터 .NET 업데이트 설치 파일 다운받아 실행 - RAR 파일 내 'setup.exe'만 악성코드이고 파일 용량은 20MB ~ 50MB 정도임 RecordBreaker Stealer : 크랙 및 시리얼 등의 불법 프로그램 다운로드로 위장하여 유포되는 대표적인 악성코드 알 수 없는 웹 사이트로부터 다운로드한 파일이 암호 압축 파일이거나 내부에 setup, activate, install 등의 파일명을 가진 실행 파일이 존재하는 경우 악성코드 샌드박스 등의 분석 환경에서는 해당 파일이 정상 파일로 분류될 가능성 높음 https://asec.ahn..