악성파일 사례 정리

● Powershell을 이용한 파일리스 공격

- 파일리스 공격은 파일이 존재하진 않지만 악성코드나 랜섬웨어에 감염되게 하는 것

- 공격자들이 자신들의 공격 행위의 탐지를 어렵게 하기 위해 애용하는 공격방식으로 자리매김한 것으로 보인다.

- 악성 파일을 저장시키지 않고 시스템 메모리에 바로 로드되어 실행하는 공격 방식

최근 발견되고 있는 파일리스 악성코드는 희생자 PC에 최소한의 악성파일을 남겨두어 지속적으로 제어권을 획득 할 수 있는 발판을 마련

공격 타입은 3가지(파일을 사용하지 않고 명령어만 이용/파일을 디스크에 쓰징 않지만 특정 파일을 간접적으로 사용/파일리스 공격의 지속성을 위해 파일이 필요)

 

대부분의 악성코드는 대상 PC에 파일을 설치 및 실행 시켜 공격자가 원하는 행위를 실행시키는 것이 일반적인 공격 방식이다. 파일리스 공격은 대부분의 악성코드가 공격하는 방식을 비틀어 버리는 새로운 공격방식으로 이론적으로는 사용자의 디스크에 파일을 저장하지 않고 공격자가 원하는 공격이 가능하다.

 

 

Powershell을 이용한 파일리스 공격 사례

1) 문서형 악성코드 (매크로, vbs)

: REMCOS RAT 사용. 해당 악성코드는 피싱 메일을 이용하여 꾸준히 유포되고 있으며 악성 행위를 하는 매크로 코드가 삽입된 문서 파일을 이메일에 첨부 후 발송한다. 해당 사용자가 문서 파일을 실행 시 감염되며 공격자는 감염된 사용자의 PC를 원격 조작, 정보 탈취 등의 기능이 있는 악성코드이다.

 

2) Netwalker 랜섬웨어

: 해당 코드의 공격방식은 2020년 9월 월간보안동향에 작성된 Reflective DLL Injection 내용과 동일한 공격방식이나 차이점은 생성된 DLL에서 로드하는 것이 아닌 Powershell 코드 내부의 hex 데이터를 메모리에 직접 주입하는 것에 있다.

 

● 재택근무자를 노리는 악성코드

재택근무를 수행하면서 회사에서 지급한 자산이 아닌 개인소유의 자산을 사용하거나 IT 부서에서 승인되지 않은 서비스 구매 및 불법적 소프트웨어 사용으로 인하여 IT 관리부서나 책임자가 파악하지 못하는 쉐도우 IT(Shadow IT)가 증가하게 된다. 이러한 쉐도우 IT의 증가는 IT 부서의 관리비용 증가 뿐만 아니라 새로운 보안 위협요인으로 자리잡게 된다.

 

[소프트웨어 종류 및 분류 현황]

1) 문서 편집

2) 원격 회의

3) 설계

4) 백신

5) 압축

6) VPN

7) 사진, 영상 편집

8) 3D 모델링

 

[OSINT환경에서 수집된 소프트웨어 기반 악성코드 유형 분류]

 

1) 문서 편집 프로그램으로 위장한 악성코드

: 재택근무자가 기업자산으로 배포된 IT자산 이외의 환경에서 업무를 수행하기 위해서는 단연 문서 편집기 소프트웨어가 필요하게 된다. 이런 경우 일반적으로 접근이 손쉬운 검색엔진의 검색결과를 통해서 공식 사이트를 통해 다운로드 받을 수도 있으나 로그인이나 별도의 인증과정이 필요한 경우 블로그나 P2P사이트를 통해서 설치 프로그램을 다운로드 받는 경우도 있다. 사용자의 이러한 행동 패턴을 이용하여 공격자가 악의적으로 제작한 사이트를 검색결과 최상단에 정상 사이트인 것처럼 등재하여 악성코드 유포지로 리다이렉트 시키는 방식은 가장 일반적인 공격방식이라고 할 수 있다.

 

+검색엔진 결과에 공격자가 생성한 URL 상위 랭크 시도

-> 링크 접근 후 다운로드 된 악성파일

-> 랜섬웨어 감염

 

2) 정상 프로그램으로 위장한 악성코드

3) 라이선스 우회 프로그램에 숨겨진 악성코드

 

---

출처

 

http://www.igloosec.co.kr/BLOG_Powershell%EC%9D%84%20%EC%9D%B4%EC%9A%A9%ED%95%9C%20%ED%8C%8C%EC%9D%BC%EB%A6%AC%EC%8A%A4%20%EA%B3%B5%EA%B2%A9?searchItem=&searchWord=&bbsCateId=49&gotoPage=1

One Step Ahead 이글루시큐리티

 

http://www.igloosec.co.kr/BLOG_[%ED%8A%B9%EC%A7%91]%20%EC%BD%94%EB%A1%9C%EB%82%98%2019(COVID-19)%EA%B3%BC%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%202%20-%20%EC%9E%AC%ED%83%9D%EA%B7%BC%EB%AC%B4%EC%9E%90%EB%A5%BC%20%EB%85%B8%EB%A6%AC%EB%8A%94%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C?searchItem=&searchWord=&bbsCateId=49&gotoPage=1

One Step Ahead 이글루시큐리티