한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes)
Contents
AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이와 같은 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다.[그림1] 은 악성코드의 아이콘과 전체적인 실행 그림이다. 악성코드가 실행되어 어떤 프로세스를 사용하는지 한눈에 볼 수 있다. [그림 3] 한글 파일 생성, 자가 삭제 증적 데이터[그림 3] 한글 파일 생성, 자가 삭제 증적 데이터[그림 2]와 [그림 3]은 악성코드의 전체 흐름 중 주요 행위에 대한 증적 데이터이다. [그림 2] 에서 악성코드는 정상파일처럼 보이기 위해 AppData 경로에 onedrivenew 라는 폴더를 생성하고, onedrivenew.exe 라는 파일명으로 자가 복제하는 증적이 확인 가능하다. [그림 3]에서 악성코드가 실행된 경로와 동일한 경로에 동일한 파일명의 정상 한컴 오피스 파일을 …
IoC
93fc0fb9b87a00b38f18c1cc4ee02e50
http://ingarchi.com/bbs/data/culture
http://ingarchi.com/bbs/data/culture/getcfg.php
http://ingarchi.com/bbs/data/culture
http://ingarchi.com/bbs/data/culture/getcfg.php