국내 인터넷 커뮤니티 사이트에서 악성코드 유포 (유틸리티 위장)
Contents
국내 인터넷 커뮤니티 사이트에서 악성코드 유포 (유틸리티 위장)
ASEC 분석팀에서는 7월 23일 국내 유명 커뮤니티의 자료실에서 유틸리티 프로그램을 위장한 악성코드가 유포 중인 것을 확인하였다. 공격자는 공식 홈페이지에서 배포 중인 유틸리티의 실행파일에 악성 쉘 코드를 삽입 후 실행 흐름을 변조하는 방법으로 악성코드를 제작하였다. (정상파일의 빈 공간에 악의적 코드 삽입) 이번에 확인된 악성코드의 동작방식은 7월 15일에 ‘코로나 예측 결과’ 위장하여 유포된 엑셀문서 악성코드(https://asec.ahnlab.com/1355) 사례와 유사한 것으로 확인되었다.
[그림1] 커뮤니티 사이트 게시물
자료실의 유틸리티 항목에 다음과 같이 첨부파일을 포함한 게시글을 업로드하였다. 해당 게시글은 특정 유틸리티 프로그램을 소개하는 내용으로 이루어져 있으며 첨부파일 내부에는 악성코드가 존재한다.
[그림2] 악성코드 유포 첨부파일
첨부파일 내부의 실행파일에는 공식 홈페이지에서 배포 중인 원본 파일과는 다르게 “.ireloc” 이름의 섹션이 추가되어 있으며 실행 권한을 가지고 있다.
[그림3] 추가된 .ireloc 섹션
(좌) 악성파일, (우) 정상파일
해당 섹션에는 악성 쉘 코드가 존재하며, 추가적으로 EntryPoint 근처의 Call 명령어의 주소가 변조되어 있어 파일 실행 시 쉘 코드를 실행 후 원래의 코드를 실행하게 된다.
[그림4] 좌: 원본 코드 우: 변조된 코드
이와 같이 실행 흐름을 변조하여 악성코드를 …
ASEC 분석팀에서는 7월 23일 국내 유명 커뮤니티의 자료실에서 유틸리티 프로그램을 위장한 악성코드가 유포 중인 것을 확인하였다. 공격자는 공식 홈페이지에서 배포 중인 유틸리티의 실행파일에 악성 쉘 코드를 삽입 후 실행 흐름을 변조하는 방법으로 악성코드를 제작하였다. (정상파일의 빈 공간에 악의적 코드 삽입) 이번에 확인된 악성코드의 동작방식은 7월 15일에 ‘코로나 예측 결과’ 위장하여 유포된 엑셀문서 악성코드(https://asec.ahnlab.com/1355) 사례와 유사한 것으로 확인되었다.
[그림1] 커뮤니티 사이트 게시물
자료실의 유틸리티 항목에 다음과 같이 첨부파일을 포함한 게시글을 업로드하였다. 해당 게시글은 특정 유틸리티 프로그램을 소개하는 내용으로 이루어져 있으며 첨부파일 내부에는 악성코드가 존재한다.
[그림2] 악성코드 유포 첨부파일
첨부파일 내부의 실행파일에는 공식 홈페이지에서 배포 중인 원본 파일과는 다르게 “.ireloc” 이름의 섹션이 추가되어 있으며 실행 권한을 가지고 있다.
[그림3] 추가된 .ireloc 섹션
(좌) 악성파일, (우) 정상파일
해당 섹션에는 악성 쉘 코드가 존재하며, 추가적으로 EntryPoint 근처의 Call 명령어의 주소가 변조되어 있어 파일 실행 시 쉘 코드를 실행 후 원래의 코드를 실행하게 된다.
[그림4] 좌: 원본 코드 우: 변조된 코드
이와 같이 실행 흐름을 변조하여 악성코드를 …
IoC
https://byliny.bionebe.cz/wp-content/uploads/et_temp/chimps/90f80-08-230-sf0800.php
https://asec.ahnlab.com/1355
https://asec.ahnlab.com/1355